概述：

漏洞发现于7个月前，最近于Hackerone上被公开披露。

攻击者可以使用Google登录功能创建后门，如果攻击者通过任何方式窃取受害者的登录密码。攻击者可以连接他/她的谷歌帐户并创建一个后门，如果受害者断开攻击者会话没有过期，并且仍然获得访问权限，因为在与谷歌帐户断开连接后没有会话过期.攻击者仍然可以再次连接他的谷歌帐户。

漏洞复现：

1、假设攻击者通过手段窃取到受害者的登录密码

2、攻击者可以连接TA的Google帐户

3、攻击者使用 Google 身份验证登录 

4、受害者断开攻击者连接会话，然而会话并未过期，依然能够访问，因为在与 Google 帐户断开连接后，攻击者的浏览器中的会话并未立即失效

5、于是攻击者依然可以再次连接TA的Google帐户

POC视频：

该漏洞 CVSS3.0 评分4.2，定级为中危，白帽 attackerbhai最终获得$1,600赏金奖励。祝各位周末愉快～

====正文结束====

原文始发于微信公众号（骨哥说事）：Shopify 另一处公开披露漏洞