Des vulnérabilités dans le domaine du commerce électronique du libraire indien Oswaal Books auraient pu permettre à des attaquants de prendre le contrôle du site Web, a affirmé un chercheur en sécurité.

Dans un article de blog, ‘Vikaran101’ raconte comment un pirate informatique malveillant pourrait alors modifier le mot de passe administrateur, annuler des commandes, initier des remboursements, modifier les détails et les prix des livres, modifier les articles de blog et les paramètres de référencement, dégrader le site Web, afficher les CV des clients et modifier les informations des clients telles que l’adresse postale et le téléphone Nombres.

Après avoir pris le contrôle du compte administrateur via l’injection SQL, le chercheur a réussi l’exécution de code à distance (RCE), a contourné l’authentification par mot de passe à usage unique (OTP) et a découvert un bogue de falsification de requête intersite (CSRF), affirme-t-il.

Vikaran101 dit qu’Oswaal Books, qui vend des manuels scolaires et des copies d’examens à des milliers d’écoles et à des millions d’étudiants via des librairies et son site Web, a corrigé les failles de sécurité en migrant le site vers Shopify.

« J’ai trouvé un simple XSS [cross-site scripting] bug sur leur site Web, je voulais enchaîner et en savoir plus sur ces vulnérabilités », raconte-t-il La gorgée quotidienne. « Ce faisant, j’ai pu trouver des terminaux sensibles sur le site. »

Tête de pont vers RCE

Le chercheur, lui-même étudiant et utilisateur régulier du site, a trouvé la faille XSS par hasard lorsqu’il a déclenché par inadvertance un message « mot de passe invalide » sur la page de connexion qui reflétait « l’entrée donnée au paramètre « errmsg » dans l’URL ».

Il a ensuite remarqué que, bien que le bogue ait été corrigé, le paramètre ‘errmsg’ était « utilisé à plusieurs endroits », créant potentiellement un XSS supplémentaire. Il a également trouvé une page de connexion cachée qui, via une injection SQL basée sur POST, lui a donné accès aux informations d’identification de l’administrateur.

Vikaran101 a ensuite réalisé RCE en téléchargeant une photo sur un ancien article de blog désactivé avec une extension invalide (.php).

De plus, les totaux des paniers pourraient être réduits en modifiant les quantités de commande avec un entier négatif et le chercheur a exploité l’absence totale apparente de jetons CSRF, affirme-t-il.

« Comme un FCT »

En comparant l’expérience à une compétition de capture de drapeau (CTF), le chercheur a noté que ses exploits ne tiraient parti que des méthodes de test de plume « les plus élémentaires » et n’impliquaient « que quelques étapes ».

Vikaran101 ajoute : « Les entreprises doivent assumer la responsabilité des données que leurs clients ont confiance pour stocker avec elles. Les services de cybersécurité peuvent être coûteux, mais la confiance et la sécurité de vos utilisateurs valent chaque centime.

Le chercheur dit avoir signalé les vulnérabilités le 29 septembre et le site relancé sur Shopify le 17 décembre.

Oswaal Books n’a pas encore répondu à La gorgée quotidiennel’invitation de répondre à la recherche discutée, mais nous mettrons à jour cet article si et quand ils le font.