Untersuchungen von Salt Labs haben zwei API-Sicherheitslücken aufgezeigt, die in BrickLink, eine digitale Wiederverkaufsplattform der LEGO Group.
BrickLink ist der weltweit größte Online-Marktplatz für gebrauchtes LEGO kaufen und verkaufen. Die API-Sicherheitslücken könnten sowohl groß angelegte Account-Takeover-Angriffe (ATO) auf Kundenkonten als auch Serverkompromittierungen ermöglicht haben, um es Angreifern zu ermöglichen, die Kontrolle über Konten zu übernehmen und persönliche Daten zu stehlen.
Forscher von Salt Labs entdeckt die Schwachstellen, indem Bereiche der Website untersucht werden, die Benutzereingabefelder unterstützen. Im Dialogfeld „Benutzernamen finden“ der Coupon-Suchfunktion fanden Forscher eine Cross-Site-Scripting (XSS)-Schwachstelle, die es ihnen ermöglichte, über einen manipulierten Link Code auf dem Computer eines betroffenen Endbenutzers einzuschleusen und auszuführen.
Es gab auch einen Fehler auf der Seite „Upload to Wanted List“ der Plattform, die es Forschern ermöglichte, einen XML External Entity (XXE) Injection-Angriff auszuführen, bei dem eine XML-Eingabe, die einen Verweis auf eine externe Entität enthält, von einem schwach konfigurierten XML-Parser verarbeitet wird. Mithilfe des XXE-Injection-Angriffs konnten Forscher Dateien auf dem Webserver lesen und einen Server-Side Request Forgery (SSRF)-Angriff ausführen.
“Heute haben fast alle Geschäftsbereiche ihre Nutzung von APIs auf ermöglichen neue Funktionen und optimieren die Verbindung zwischen Verbrauchern und wichtigen Daten und Diensten”, sagt Yaniv Balmas, VP of Research bei Salt Security. „Infolgedessen sind APIs zu einem der größten und wichtigsten Angriffsvektoren geworden, um Zugriff auf Unternehmenssysteme und Benutzerdaten zu erhalten. Da Unternehmen schnell skalieren, sind sich viele der schieren Menge an API-Sicherheitsrisiken und-Schwachstellen nicht bewusst, die auf ihren Plattformen bestehen , wodurch Unternehmen und ihre wertvollen Daten schlechten Akteuren ausgesetzt werden.”
Als die Forscher von Salt Labs die Schwachstellen entdeckten, befolgten sie koordinierte Offenlegungspraktiken mit LEGO, und alle Probleme wurden schnell behoben.
Weitere Informationen finden Sie im Salt Security-Blog.
Bildnachweis: AndrewLozovyi/depositphotos.com