Основы этичного веб-хакинга (перевод)
1. Обход администраторских привилегий на Shopify
1. Обход администраторских привилегий на
Shopify
Сложность: Низкая
Url: shop.myshopify.com/admin/mobile_devices.json
Ссылка на отчет: https://hackerone.com/reports/100938¹⁶
Дата отчета: 22 ноября 2015
Выплаченное вознаграждение: $500
Описание:
Shopify - огромная и устойчивая платформа, которая включает
и веб-интерфейс, и API. В этом примере API не валидировал
права доступа, тогда как веб-интерфейс осуществлял эту вали-
дацию. В результате, администраторы магазинов, которые не
должны были получать уведомления на почту, могли обойти
настройки безопасности при помощи манипуляции с API и в
результате могли получать уведомления на свои устройства
от Apple.
В соответствии с отчетом, хакеру нужно было лишь:
• Войти в приложение Shopify для телефона под аккаун-
том с полным доступом
• Перехватить POST-запрос к /admin/mobile_devices.json
• Удалить все настройки прав доступа для этого аккаунта
• Удалить добавленное уведомление на мобильный
• Воспроизвести POST-запрос к /admin/mobile_devices.json
После выполнения этих действий пользователь получал бы
уведомления обо всех размещенных в магазине заказах на
телефон, игнорируя таким образом настройки безопасности
этого магазина.
Выводы
Здесь два ключевых вывода. Во-первых, не всегда
необходимо осуществлять инъекцию кода, HTML
или чего-либо еще. Всегда используйте прокси и
смотрите, какая информация передается сайту и
играйтесь с ней, чтобы увидеть, что произойдет.
В этом случае для обхождения проверок безопас-
ности нужно было лишь удалить параметры из
POST-запроса. Во-вторых, еще раз, не все атаки
основаны на HTML-страницах. Эндпоинты API
всегда представляют потенциальную зону уязви-
мости, так что убедитесь, что рассматриваете и
тестируете обе части приложения.
#42571 в Разное
#1027 в Бизнес-литература
#5056 в Развитие личности
хакер, хакинг, основы этичного хаки...
16+
Отредактировано: 08.03.2019
Добавить в библиотеку 