hackerone-shopify-2020-10-m-975047

User sensitive information disclosure

보고서

서드파티 앱의 취약점을 신고했다. 원래는 스코프에 포함되지 않지만, 영향력이 있다 판단해 바운티를 주었다.

1. Shopify 가이드 applet을 연다.
2. Personal Center에 들어간다.
3. edit information 을 누른다.
4. 이 때 발생하는 요청 https://api-wechat.shopify.cn/api/sp/customer/id를 잡고, ID를 변경하면 특정 ID의 정보를 얻을 수 있었다.

---

tags: bughunting, shopify, idor, wstg-athz-04, severity medium, web hacking