Penelitian dari Salt Labs menyoroti dua kerentanan keamanan API yang ditemukan di dalam BrickLink, platform penjualan kembali digital yang dimiliki oleh The LEGO Group.
BrickLink adalah pasar online terbesar di dunia untuk membeli dan menjual LEGO bekas. Kelemahan keamanan API dapat memungkinkan serangan pengambilalihan akun (ATO) skala besar pada akun pelanggan dan kompromi server untuk memungkinkan aktor jahat mengambil kendali akun dan mencuri detail pribadi.
Peneliti Salt Labs menemukan kerentanan dengan memeriksa area situs yang mendukung bidang masukan pengguna. Dalam kotak dialog ‘Temukan Nama Pengguna’ dari fungsi pencarian kupon, peneliti menemukan kerentanan cross-site scripting (XSS) yang memungkinkan mereka menyuntikkan dan mengeksekusi kode pada mesin pengguna akhir korban melalui tautan yang dibuat.
Ada juga cacat pada halaman ‘Unggah ke Daftar Dicari’ platform yang memungkinkan peneliti untuk mengeksekusi serangan injeksi Entitas Eksternal XML (XXE), di mana input XML yang berisi referensi ke entitas eksternal diproses oleh parser XML yang dikonfigurasi dengan lemah. Dengan menggunakan serangan injeksi XXE, peneliti dapat membaca file di server web dan mengeksekusi serangan pemalsuan permintaan sisi server (SSRF).
“Saat ini, hampir semua sektor bisnis telah meningkatkan penggunaan API mereka untuk mengaktifkan fungsionalitas baru dan merampingkan hubungan antara konsumen dan data serta layanan penting,” kata Yaniv Balmas, VP penelitian di Salt Security. “Akibatnya, API telah menjadi salah satu vektor serangan terbesar dan paling signifikan untuk mendapatkan akses ke sistem perusahaan dan data pengguna. Saat organisasi berkembang dengan cepat, banyak yang tetap tidak menyadari banyaknya risiko keamanan API dan kerentanan yang ada di dalam platform mereka , membuat perusahaan dan data berharga mereka terekspos ke aktor jahat.”
Saat menemukan kerentanan, peneliti Salt Labs mengikuti praktik pengungkapan terkoordinasi dengan LEGO, dan semua masalah ditangani dengan cepat.
Anda dapat membaca lebih lanjut di blog Salt Security.
Kredit gambar: AndrewLozovyi/depositphotos.com
