hackerone-shopify-2020-09-h-978125

xss triggered in “myshopify.com/admin/product”

보고서

상점페이지에서 상품을 볼 때 XSS가 트리거되었다.

1. 새 상품을 만든다.
2. 상품 설명에 XSS 페이로드를 적는다.

<div align =" center "data-mce-fragment =" 1 "> <img src = x onerror = prompt (document.cookie)> <h4 dir = "ltr" data-mce-fragment = "1"> <span style = "text-decoration: underline; color: # ff2a00;"> <em> <strong> (name_product) </strong></em></span> </h4> </div>

원래 shopifypreview.com 에서 상품 정보에 XSS가 되는 것은 known issue였는데, /admin/products와 /admin/collections (관리 페이지)에서도 트리거가 되어 이것은 유효하게 쳤다.

컬렉션과 상품 등록에 사용되는 rich text editor는 HTML sanitization을 사용하는데 이를 우회하여 바운티를 탈 수 있었다. (아직 legal setting이나 blog 등에서는 known issue로 치고 보고서를 받지 않지만 컬렉션과 상품 등록은 필터링을 새로 넣어 보고서를 받고 있다.)

---

tags: bughunting, shopify, xss, stored-xss, wstg-inpv-02, severity high, web hacking