hackerone-shopify-2020-07-l-905737
Open Redirect - www.shopify.com
https://www.shopify.com/plus/get-cdn-asset?asset=http://evil.com/? 와 같은 URL로 오픈 리다이렉트가 가능했다. asset 파라미터가 문제였다.
하지만 Shopify 정책 상 open redirect로 토큰 등을 가져오지 못 한다면 바운티를 주지 않았다.
tags: bughunting, shopify, open-redirect, wstg-clnt-04, severity low, web hacking