hackerone-shopify-2019-11-m-729424

Stored XSS in private message

보고서

1. https://<<내 상점>>.myshopify.com/admin/customers 경로에 접속한다.
2. 고객의 이메일을 클릭하여 Contact customer 창을 띄운다. 내용으로 "><img src=x onerror=alert(1)> XSS 페이로드를 쓰고 보낸다.
3. Timeline에서 고객에게 취한 작업을 볼 수 있다. 이메일을 보낸 이력을 열면 이메일 내용이 보인다. 이를 통해 XSS가 된다.

이는 이메일 콘텐츠를 표시하는 데 사용한 <iframe>을 더이상 샌드박스 처리 하지 않았기에 발생한 문제다. iframe XSS는 안 받는다고 되어있는데, 이는 에디터와 테마 편집기 외부에서 통했기에 유효했다.

---

tags: bughunting, shopify, xss, stored-xss, wstg-inpv-02, severity medium, web hacking