*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

内容介绍

本期漏洞解析视频的内容是香港白帽Ron Chan (ngalog)上报的三个关于Shopify平台的用户身份邮件确认绕过漏洞，三个漏洞都可对Shopify用户形成账户劫持，并可影响Shopify平台包括SSO机制在内的所有用户，最终共收获了$37,500的漏洞奖励。

Ron Chan上报的这三个漏洞其原理都非常简单：

第一个漏洞

攻击者用自己邮箱注册Shopify账户后，在当前账户环境中，通过更改账户绑定邮箱为受害者邮箱，攻击者邮箱即可收到Shopify后台误发来的本应发给受害者邮箱的确认邮件，由此，在当前账户环境中即把绑定邮箱替换为受害者邮箱，间接实现对受害者Shopify账户的劫持

第二个漏洞

第一个漏洞的修复措施错误，Shopify在修复第一个漏洞后，只限制了攻击者邮箱不可收到绑定邮箱修改为受害者邮箱后的用户身份确认邮件，但却遗留了一个直接途径：攻击者可以不用去收取身份确认邮件即可把绑定邮箱修改为受害者邮箱，以此再次实现对受害者账户的劫持。

第三个漏洞

是第一个漏洞的假设性验证，由于Ron Chan在发现第一个漏洞后急于上报漏洞，未完全验证漏洞影响性，导致Shopify判定漏洞只对未采用SSO机制的用户造成影响。在此，基于第一个漏洞的结论，Ron Chan在该漏洞中通过修改URL链接，直接导致了SSO主账户的密码重置，终于形成SSO用户账户劫持。

Shopify的漏洞修复速度非常及时，三个漏洞的修复时间都是三小时之内；Shopify也非常实诚大气，同样给了第二个漏洞和第三个漏洞很高的赏金奖励。

观看视频

具体漏洞细节请参考HackerOne链接：

https://hackerone.com/reports/791775

https://hackerone.com/reports/796808

https://hackerone.com/reports/796956

*本课程翻译自Youtube精选系列教程，FreeBuf视频组荣誉出品，喜欢的点一波关注（每周更新）！