hackerone-shopify-2020-08-l-887879

xss stored in yourstore.myshopify.com/admin/

보고서

1. <<내 상점>>.myshopify.com/admin/menus/new 에 접속한다. 이는 온라인 스토어에 메뉴를 생성하는 기능이다.
2. 메뉴 아이템 추가를 누른다.
3. 메뉴의 이름에 XSS 페이로드를 심는다. "><img src="x" onerror="alert(document.cookie)"> 와 같은 페이로드를 이용했다. 메뉴 링크로는 아무 링크를 넣는다.
4. 메뉴를 삭제하는 버튼을 클릭하면 admin 페이지(관리 페이지)에서 XSS가 트리거된다.

---

tags: bughunting, shopify, xss, stored-xss, wstg-inpv-02, severity low, web hacking