价值 7500$ 的账号接管漏洞案例

这个案例来自 hackerone，两个报告的合并奖励，第一个是任意邮箱地址绑定，第二个是任意用户密码修改，原文：

https://hackerone.com/reports/791775 https://hackerone.com/reports/796956

image-20250827192435954

访问 https://www.shopify.com/pricing并使用电子邮件地址注册免费试用，例如 attacker@gmail.com，这样您就可以接收电子邮件

进入商店后，在右上角单击您的姓名，然后转到您的个人资料

null

将您的电子邮件更改为您想要接管的人，例如 yaworsk@hackerone.com，然后单击“保存”

然后等待电子邮件发送到您的电子邮箱attacker@gmail.com

您正在等待的电子邮件来自 mailer@shopify.com，格式应如下所示

null

此时，可以将自己的邮箱设置为任意用户的邮箱，主要原因是发送验证链接的邮箱不是新设置的邮箱，而是系统保存的邮箱地址，从而导致问题的产生。

在此基础上，由于两个邮箱地址一样，所以现了合并账号的功能，如图：

null

点击合并账号之后，需要输入此账号的密码：

null

这个密码是攻击者注册时填的，所以没有问题，但是在合并账号时，需要填写目标的密码，但是攻击者并不知道，如图：

null

这个时候，将 url 中的 /login修改为 /accounts_merge/new-password其他部分不变，出现了如下页面：

null

直接绕过了验证，可以直接修改目标的密码，从而造成更大的危害。经过测试，即使用户设置了双因子认证，同样受影响，最终给予此漏洞报告 7500 美金的奖励。

文库近期更新：