hackerone-shopify-2020-09-l-860348
Staff member with no permission can delete POS staff from account settings
POS기 관련인 Point of Sale 앱에 취약점이 있었다. 이 앱은 Shopify가 직접 관리하는 앱이다. 이를 이용하면 Sales channels에 목록이 추가된다.
admin이 POS shopify 직원을 추가하며 성, 이름, 이메일 주소, PIN 번호를 지정할 수 있다. 이는 일반 Shopify 직원과는 따로이며, POS만 접근 가능한 계정이다.
Shopify POS에 대한 권한이 없는 직원도 계정 설정 페이지(<<내 상점>>.myshopify.com/admin/settings/account)에서 이 Shopify POS 전용 직원을 볼 수 있고, 삭제할 수 있었다.
그냥 당연한 기능처럼, 특별한 페이로드나 방법 없이 눈에 보이는 버튼을 누르면 됐다. POS 접근 권한이 없는 직원은 POS 전용 직원을 삭제할 수 없어야 한다는 비지니스 로직에 대한 확신을 가지고 신고한 듯.
tags: bughunting, shopify, access control vulnerability, wstg-athz-03, severity low, web hacking