hackerone-shopify-2018-05-m-322661
Replace other user files in Inbox messages
유저가 상점에게 메시지를 보내는 기능이 있다. 상점은 이에 응답하고 파일을 추가할 수도 있다. 파일이 업로드되면 https://shopify-exchange-private.s3.amazonaws.com/attachments/<filename> 과 같은 형태의 URL이 생성된다. URL에서 파일 이름을 바꾸어 다른 파일에 접근할 수 있었다. 또한 기존의 파일에 내용을 덮어쓸 수도 있었다.
dudeuranium238.pdf 라는 이름의 파일을 touch를 이용해 내용 없이 만들었다. 그리고 이 파일을 첨부하여 답장을 보내었다. 그리고 https://shopify-exchange-private.s3.amazonaws.com/attachments/dudeuranium238.pdf에 브라우저를 이용해 접근하니 올바른 PDF 파일이 아니라는 메시지가 떴다.
이 상태에서 새로운 스토어를 생성하고, 이번에는 유효한 포맷의 dudeuranium238.pdf를 첨부해 답장을 보냈다. 이전에 업로드한 동일 파일이 덮어씌워져 https://shopify-exchange-private.s3.amazonaws.com/attachments/dudeuranium238.pdf 로 접근했을 시 정상적으로 PDF 파일을 열 수 있었다. (아마 동일 스토어에서 동일 이름의 파일을 첨부하면 이름을 바꾸는데 다른 스토어에서 올린 것은 덮어 씌우는 듯 하다.)
tags: bughunting, wstg-athz-04, idor, severity medium, web hacking