XDA智能手机网 - 第一智能手机评述媒体
科技您的位置:首页 >科技 >

Shopify API漏洞提供了对数千家商店的收入数据的访问

发布时间:2019-04-19 16:28:51 来源:

研究人员已发现Shopify API端点中的安全漏洞,可利用该漏洞泄漏数千家商店的收入和流量数据。

应用程序安全工程师和bug赏金猎人Ayoub Fathi 本周在一篇媒体博客文章中披露了他的发现。

Shopify占据了超过175个国家的80多万商户,在过去一年中建立了一个新的API,这使得Fathi感兴趣。此API旨在用于内部获取图表演示的销售数据,但发现系统泄漏了两个未命名的Shopify商店的收入数据,其中一个已从平台中删除。

研究人员在同一API端点上设置了一个新商店并使用$ storeName来测试系统是否容易受到不安全直接对象引用(IDOR)错误的攻击。但是,这导致了404错误。

然后,Fathi决定对所有现有商店进行批量检查,以查看是否有任何客户信息会通过API泄漏。

构建包含商店名称的脚本,并且在针对端点迭代wordlist之后过滤掉易受攻击的域。

在1000家商店中,只有四家 - 其中一家已关闭 - 被证明是脆弱的。然而,研究人员使用更大的数据集深入挖掘,包含813,684条记录,使用前向DNS。

然后使用Bash脚本对这些记录进行了进一步的测试,结果列出了一个易受攻击的商店列表,这些商店泄漏了“Shopify商家的销售数据,其中包括从2015年到今天每月数千家商店的收入细分。”

“我们有一个易受攻击的商店列表,所以如果我们查询其中的任何一个,我们会得到当前商店在其生命周期内的美元月收入数据的细分,”研究人员补充说。

热点推荐
随机文章