Основы этичного веб-хакинга (перевод)

format_size add_circle_outline remove_circle_outline

2. Отключение Shopify от Twitter

Сложность: Низкая 
Url: https://twitter-commerce.shopifyapps.com/auth/twitter/disconnect

Ссылка на отчет: https://hackerone.com/reports/111216¹³ 
Дата отчета: 17 января 2016 
Выплаченное вознаграждение: $500 
Описание: 
Shopify предоставляет интеграцию с Twitter, что позволяет 
владельцам магазинов постить твиты о своих продуктах. По- 
добным образом сервис позволяет и отключить аккаунт Twitter 
от связанного магазина. 
URL для отключения аккаунта Twitter от магазина указан вы- 
ше. При совершении запроса Shopify не валидировал CSRF- 
токен, что позволило злоумышленнику создать фальшивую 
ссылку, клик на которую приведет ничего не подозревающего 
владельца магазина к отключению его магазина от Twitter. 
Описывая уязвимость, WeSecureApp предоставил следующий 
пример уязвимого запроса - обратите внимание, что исполь- 
зование тега img делает вызов к уязвимому URL: 
1 GET /auth/twitter/disconnect HTTP/1.1 
2 Host: twitter-commerce.shopifyapps.com 
3 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.1\ 
4 1; rv:43.0) Gecko/20100101 Firefox/43.0 
5 Accept: text/html, application/xhtml+xml, application/x\ 
6 ml 
7 Accept-Language: en-US,en;q=0.5 
8 Accept-Encoding: gzip, deflate 
9 Referer: https://twitter-commerce.shopifyapps.com/accou\ 
10 nt 
11 Cookie: _twitter-commerce_session=REDACTED 
12 >Connection: keep-alive

Поскольку браузер выполняет GET-запрос для получения изоб- 
ражения по переданному URL и CSRF-токен не валидируется, 
пользовательский магазин теперь отключен: 
1 <html> 
2 <body> 
3 <img src=”https://twitter-commerce.shopifyapps.com/\ 
4 auth/twitter/disconnect”> 
5 </body> 
6 </html> 
Выводы

В этой ситуации, описанная уязвимость мог- 
ла быть найдена при использовании прокси- 
сервера, такого, как Burp или Firefox Tamper Data, 
достаточно было взглянуть на запрос, отправля- 
емый к Shopify и увидеть, что этот запрос был 
осуществлен с помощью GET-запроса. Посколь- 
ку это было разрушительное действие и GET- 
запросы не должны изменять данные на сервер, 
это стоит исследовать.



Евгений Этичный

#42574 в Разное
#1027 в Бизнес-литература
#5057 в Развитие личности

В тексте есть: хакер, хакинг, основы этичного хаки...

16+

Отредактировано: 08.03.2019

Добавить в библиотеку




Понравилась книга?
Отложите ее в библиотеку, чтобы не потерять
Закрыть Добавить в библиотеку