4.5　Shopify Twitter斷連接攻擊

難度：低

URL：https://twitter-commerce.shopifyapps.com/auth/twitter/disconnect/

報告位置：https://www.hackerone.com/reports/111216/

報告日期：2016年1月17日

支付獎金：500美元

當我們尋找潛在的CSRF漏洞時，一定要注意到能夠修改服務器端數據的GET請求。例如，黑客發現了Shopify特性中的一個漏洞，該特性集成了Twitter到網站上，以便于能夠讓店主更方便地推銷他們的產品。該特性同時也允許用戶斷開已經連接到網店的Twitter賬號。斷開Twitter賬號的URL如下：

事實證明，當訪問該URL時，將會發起一個GET請求以斷開賬號連接，具體如下：

另外，當該連接最開始實現時，Shopify并沒有驗證發送給它的GET請求的合法性，從而導致該URL存在CSRF漏洞。

提交該報告的黑客WeSecureAPP提供了如下所示的漏洞驗證程序（POC）HTML文檔：

當被打開時，該HTML文檔將導致瀏覽器通過讀取<img>標簽中的src屬性?向https://twitter-commerce.shopifyapps.com發起一個HTTP GET請求。如果有人已經通過他的Twitter賬號連接到Shopify并且訪問了具有該<img>標簽的網頁，那么他們的Twitter賬號將會從Shopify斷開。

要點

重點關注會在服務器端執行操作的HTTP請求，例如通過GET請求斷開Twitter賬號。正如之前提到的，應該確保GET請求永遠不能修改服務器端數據。在本例中，你可以通過使用代理服務器，例如，Burp、OWASP的ZAP以監測發送到Shopify的HTTP請求來發現這些漏洞。