备案控制台
探索云世界
开发者社区 安全 文章 正文

api漏洞系列-shopify中一个越权漏洞

2022-12-13 205
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 主要逻辑这是文档中所讲到的应用程序可以访问的范围(https://docs.shopify.com/api/authentication/oauth#scopes),但应用可以请求/获得更多范围的访问权,而其中有些范围本不应该是可访问的。

前言


声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。


主要逻辑


这是文档中所讲到的应用程序可以访问的范围(https://docs.shopify.com/api/authentication/oauth#scopes),但应用可以请求/获得更多范围的访问权,而其中有些范围本不应该是可访问的。


请求


URL GET/POST data: GET METHOD:

https://victim.myshopify.com/admin/oauth/authorize?client_id=fc49e813f5aad9c8d8f6511703 1a9684&scope=read_apps,write_apps,write_content,read_content,write_customers,read_cust omers,read_disputes,write_fulfillments,read_fulfillments,write_gift_cards,read_gift_cards,writ e_orders,read_orders,read_products,write_products,read_script_tags,write_script_tags,write_ scripts,read_scripts,read_shipping,write_shipping,write_social_network_accounts,read_social_ network_accounts,read_themes,write_themes,read_channels,write_channels&redirect_uri=htt p://while42.myshopify.com/&state=123&shop=while42


复现步骤


使用请求的access_token访问任何作用域。

1.在以下请求中使用你的应用程序的access_token (X-Shopify-Access-Token)

2.GET /admin/channels.json (获取所有的 channels IDs)

3.DELETE /admin/channels/a_Channel_ID.json (删除任何channel)

while42.myshopify.com 处测试:(用X-Shopify-Access-Token: 77a01fc64f65fd16b0b38bc31694e4ce)

27.png

文章标签:
安全
API
关键词:
API漏洞
API漏洞越权
richard1230
目录
相关文章
游客rihqhtgkydneq
|
6月前
|
安全 Java API
解决 Swagger API 未授权访问漏洞:完善分析与解决方案
Swagger 是一个用于设计、构建、文档化和使用 RESTful 风格的 Web 服务的开源软件框架。它通过提供一个交互式文档页面,让开发者可以更方便地查看和测试 API 接口。然而,在一些情况下,未经授权的访问可能会导致安全漏洞。本文将介绍如何解决 Swagger API 未授权访问漏洞问题。
游客rihqhtgkydneq
1925 0
乌鸦安全
|
11月前
|
安全 网络协议 Shell
Docker API未授权漏洞复现
Docker API未授权漏洞复现
乌鸦安全
718 0
richard1230
|
存储 安全 API
api漏洞系列-OAuth的一个问题
漏洞描述 OAuth2 API允许用户将访问他们账户的权限授予第三方应用程序。当然,用户能够管理此类应用程序对其帐户的访问,并可能拒绝任何应用程序的访问。当某些用户拒绝对应用程序的访问时,所有的access_token都将被撤销并变得无效。但是除了access_tokens应该被撤销以外,授权码(它是OAuth2授权流中使用的中间令牌)也必须被撤销。 在撤销访问时,Vimeo OAuth2 API没有撤销其授权代码。它可能被利用于恢复访问用户帐户。 复现步骤
richard1230
105 0
api漏洞系列-OAuth的一个问题
richard1230
|
安全 API 数据安全/隐私保护
api漏洞系列-通过access_token绕过权限
主要业务逻辑 Zopim仪表板帐户的所有者具有创建代理和禁用代理的能力,当禁用代理时,它限制用户访问他登录到仪表板(这是可以的),但没有使access_token过期。如果access_tokens被重用,我们就可以再次获得对帐户的访问权! 想象一下这样一种情况:所有者创建代理并提供管理访问权,当所有者知道其配置文件时,他只禁用它!但是在这里禁用帐户似乎不安全,帐户可以通过access_token使用。
richard1230
425 0
richard1230
|
安全 API Android开发
api漏洞系列-一个越权漏洞
主要逻辑 Fabric平台帮助你构建更稳定的应用程序,通过世界上最大的移动广告交易平台产生收入,并使你能够利用Twitter的登录系统和丰富的实时内容,实现更大的分发和更简单的身份识别; 在注册功能(主要是为公司注册)中,缺少适当的授权检查,允许任何用户窃取API令牌。
richard1230
214 1
api漏洞系列-一个越权漏洞
richard1230
|
安全 API 开发工具
api漏洞系列-API权限升级
主要逻辑 使用能够嵌入Crashlytics的fabric SDK,用twitter登录到他们的Android/IOS应用程序。用户可以在https://fabric.io/dashboard上管理/跟踪仪表板上的报告。
richard1230
106 1
api漏洞系列-API权限升级
richard1230
|
安全 API
api漏洞系列-越权查看信息
漏洞描述 允许攻击者泄露任何用户私人电子邮件的安全漏洞。 攻击者可以通过创建一个沙箱程序,然后将用户作为参与者添加到报告中,从而泄露任何用户的私人电子邮件。 现在,如果攻击者通过API发出获取报告的请求,响应将在活动对象中包含邀请的用户私人电子邮件。
richard1230
107 0
richard1230
|
安全 API
api漏洞系列-OAuth中的race conditions问题
漏洞描述 大多数OAuth2 的API实现在用于处理访问令牌或刷新令牌的请求的时候似乎有多个竞争条件漏洞。 竞争条件允许恶意应用程序获得多个access_token和refresh_token对,而实际上应该只生成一对。而且,当访问被撤销时,它会导致授权绕过。
richard1230
100 0
api漏洞系列-OAuth中的race conditions问题
richard1230
|
安全 API iOS开发
api漏洞系列-api速率限制绕过
漏洞描述 该漏洞是关于2FA的绕过,Slack Web应用程序有速率限制实现。在执行4-6次失败的2FA尝试后,速率限制逻辑将被筛选并要求用户等待下一次尝试(防止自动2FA被暴力破解) 使用iOS App(iOS 9.3.3 iPad Air 2)进行相同的测试,发现API端点/API/auth.signin没有该措施。 攻击者可以暴力破解2FA并进入用户(受害者的帐户) 漏洞接口: /api/auth.signin
richard1230
301 0
api漏洞系列-api速率限制绕过
技术交流18179014480
|
16天前
|
缓存 前端开发 API
API接口封装系列
API(Application Programming Interface)接口封装是将系统内部的功能封装成可复用的程序接口并向外部提供,以便其他系统调用和使用这些功能,通过这种方式实现系统之间的通信和协作。下面将介绍API接口封装的一些关键步骤和注意事项。
技术交流18179014480
32 2

热门文章

最新文章

  • 1
    免费使用Kimi的API接口,kimi-free-api真香
  • 2
    【C/C++ 数据库 sqlite3】SQLite C语言API返回值深入解析
  • 3
    阿里云微服务引擎及 API 网关 2024 年 3 月产品动态
  • 4
    怎样获取当当网dangdang商品详情 API 返回值说明?
  • 5
    如何获得阿里巴巴中国站店铺的所有商品 API 返回值说明
  • 6
    如何获取易贝EBAY商品详情 API 返回值说明?
  • 7
    实战篇:商品API接口在跨平台销售中的有效运用与案例解析
  • 8
    掌握Java 8 Stream API的艺术:详解流式编程(一)
  • 9
    Gmail邮箱API发送邮件的方法有什么
  • 10
    阿里云DNS常见问题之DNS中alidns的api调用失败如何解决
  • 1
    IMAP邮箱API接收收取邮件的方法和步骤
    12
  • 2
    SMTP邮件邮箱API发送邮件的方法和步骤
    6
  • 3
    [NDK/JNI系列04] JNI接口方法表、基础API与异常API
    11
  • 4
    Relay邮件邮箱API发送邮件的方法和步骤
    15
  • 5
    ZooKeeper【基础 03】Java 客户端 Apache Curator 基础 API 使用举例(含源代码)
    24
  • 6
    使用Go语言通过API获取代理IP并使用获取到的代理IP
    19
  • 7
    第7章 Spring Security 的 REST API 与微服务安全(2024 最新版)(上)
    24
  • 8
    快速淘宝商品详情页面API接口传输 php
    9
  • 9
    SendCloud和Aoksend邮箱API发送邮件的方法
    14
  • 10
    java借助代理ip,解决访问api频繁导致ip被禁的问题
    26

    • 相关课程

    更多
  • 体验-K8S API 基础及Pod 基本应用
  • 劫持发现、定位以及解决的最佳实践

    • 相关电子书

    更多
  • CUDA MATH API
  • API PLAYBOOK
  • 传统企业的“+互联网”-API服务在京东方的实践

    • 相关实验场景

    更多
  • 快速体验智能体API应用
  • Elasticsearch Java API Client 开发
  • 1分钟代码漏洞自动检测
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)