access-control漏洞系列-越权预览链接

• 漏洞描述

• 复现步骤:

• 小结

• 彩蛋

access-control漏洞系列-越权预览链接

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

漏洞描述

一般而言:用户需要知道店面密码才能生成预览链接。

管理员修改店面密码后，用户仍然可以通过预览链接访问店面。

原因:

(1)用户生成预览链接。

(2)简单地修改密码不会使预览链接失效。只有在关闭并重新启动店面密码后，之前的预览链接才会失效。

复现步骤:

1.访问店面并输入密码;

2.在浏览器的web开发工具中搜索: shopify.theme,用于获取主题ID值

3.替换preview_theme_id参数的值;

https://your-store.myshopify.com.myshopify.com/?_ab=0&_fd=0&_sc=1&preview_theme_id=xxxxxxxx

4.访问预览链接，当店面密码被更改时，预览链接仍然有效。

POC视频:

链接: https://pan.baidu.com/s/1rMZ0CItE0BsigWu-e1ZK1w  密码: a75u

小结

这个漏洞是属于电商业务中存在的一个权限控制方面的问题; 具体业务是预览功能

彩蛋

下一篇漏洞是如何绕过今天的fix的