Читать книгу Na tropie błędów. Przewodnik hakerski - Peter Yaworski - Страница 14

Poziom trudności: Niski

URL: https://apps.shopify.com/services/google/themes/preview/ supply–blue?domain_name=<dowolnadomena>

Źródło: https://www.hackerone.com/reports/101962/

Data zgłoszenia: 25 listopada 2015

Nagroda: 500 $

Pierwszy przykład podatności na otwarte przekierowania, który poznasz, został znaleziony na platformie Shopify pozwalającej użytkownikom tworzyć sklepy internetowe. Shopify zezwala administratorom na dostosowywanie wyglądu swoich sklepów przez zmianę ich motywów. Jako część tej funkcjonalności, Shopify zaoferowało możliwość sprawdzenia wyglądu motywu przez przekierowanie właściciela sklepu na adres URL. Przekierowujący URL prezentował się następująco:

https://apps.shopify.com/services/google/themes/preview/supply–blue?domain_name=attacker.com

Parametr domain_name na końcu URL-a przekierowywał domenę sklepu użytkownika i dodawał /admin na końcu adresu. Shopify spodziewał się, że parametr domain_name zawsze będzie adresem sklepu użytkownika i nie weryfikował, czy należy do serwisu. W rezultacie atakujący mógł wykorzystać parametr do przekierowania ofiary na stronę http:/<attacker>.com/admin/, gdzie mógł podjąć się kolejnych ataków.

Wnioski

Nie wszystkie podatności są skomplikowane. W przypadku tego przekierowania, wystarczyło podmienić parametr domain_name na zewnętrzną stronę, by przenieść użytkownika poza Shopify.