Shopify Penetrationstest: Liquid-Template-Sicherheit, App-Proxy-Absicherung und Checkout-Haertung

Shopify ist die fuehrende E-Commerce-Plattform mit ueber vier Millionen Haendlern weltweit und verarbeitet taeglich Milliarden von Transaktionen. Die Sicherheitsverantwortung liegt dabei auf zwei Ebenen: Shopify als Plattforminfrastruktur und der Haendler als Betreiber von Themes, Custom-Apps und integrierten Drittanbieter-Applikationen. CVE-2022-21664 zeigte Schwachstellen im Shopify-Marketplace-Kontext. Liquid, Shopifys Template-Sprache, und benutzerdefinierte Storefront-Logik eroeffnen spezifische Angriffsflaechen, die einen spezialisierten Pentest-Ansatz erfordern.

Shopify Pentest starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Warum Shopify-Stores spezialisierte Sicherheitstests benoetigen

Viele Shopify-Betreiber gehen davon aus, dass die Plattformsicherheit von Shopify Inc. vollstaendig abgedeckt wird. Diese Annahme ist falsch: Shopify sichert die Kerninfrastruktur ab, aber Theme-Code, Custom-Liquid-Templates, Public und Private Apps, App-Proxy-Endpunkte, Webhook-Handler und Custom-Checkout-Erweiterungen liegen in der Verantwortung des Haendlers. Ein Angriff auf einen schlecht gesicherten App-Proxy-Endpunkt oder eine XSS-Schwachstelle im Theme kann zu Zahlungsdaten-Skimming, Customer-Data-Exfiltration oder vollstaendiger Account-Kompromittierung fuehren. E-Commerce-Betreiber sind zudem PCI-DSS-pflichtig und haften persoenlich fuer Datenschutzverloetzungen nach DSGVO.

CVE-2022-21664 (Shopify Marketplace Schwachstelle): Diese CVE betrifft eine Schwachstelle im Shopify-Marketplace- und App-Kontext, die es Angreifern unter bestimmten Bedingungen ermoeglichte, unberechtigte Aktionen in Shopify-Stores auszufuehren. Sie illustriert, dass selbst die Plattformebene von Schwachstellen betroffen sein kann und Partner-Apps als Angriffspfad dienen.
Liquid Template Injection (SSTI): Shopifys Liquid-Template-Sprache ist bewusst eingeschraenkt und erlaubt keine direkte Code-Ausfuehrung. Jedoch koennen benutzerdefinierte Sektionen, Metafields und Theme-Customizations Benutzerinput in Liquid-Kontext einfuehren, was Datenleck oder XSS ermoeglichen kann, wenn kein korrektes Escaping erfolgt.
App-Proxy-Missbrauch und Authentifizierungsluecken: Shopify App Proxies erlauben externen Endpunkten, unter der Shopify-Store-Domain zu erscheinen. Wenn der Proxy-Endpunkt die Shopify-HMAC-Signatur nicht korrekt validiert, koennen Angreifer direkt auf den Backend-Endpunkt zugreifen und Store-Daten ohne Store-Kontext abfragen.
Webhook-Signatur-Bypass: Shopify-Webhooks senden einen HMAC-SHA256-Signaturs-Header. Anwendungen, die diese Signatur nicht oder fehlerhaft validieren, akzeptieren gefaelschte Webhook-Events -- was zu manipulierten Order-States, gefaelschten Zahlungsbestatigungen oder unberechtigten Inventory-Aenderungen fuehren kann.
Theme-XSS durch unsichere JavaScript-Anpassungen: Shopify-Themes binden haeufig benutzerdefiniertes JavaScript ein, das URL-Parameter, Query-Strings oder Cookie-Werte in den DOM einfuegt ohne korrektes Escaping. Solche DOM-basierten XSS-Schwachstellen ermoeglichen Customer-Cookie-Diebstahl und Session-Hijacking.
OAuth-App-Autorisierungsfluss-Schwachstellen: Shopify-App-Installationen nutzen OAuth 2.0. Fehlerhafte State-Parameter-Validierung oder unsichere Redirect-URIs in Shopify-Apps koennen CSRF-bei-App-Autorisierung oder Code-Injection ermoglichen.
Checkout-Extension-Sicherheit und Metafield-Manipulationen: Shopify Checkout Extensions und Functions ermoglichen tiefe Anpassungen des Checkout-Prozesses. Fehlerhafte Implementierungen konnen Preismanipulation, Mengenuberschreitung oder Coupon-Missbrauch ermoglichen.

Was beim Shopify Penetrationstest geprueft wird

Liquid-Template-Injection und XSS-Analyse: Vollstaendige Pruefung aller Theme-Sektionen, Snippets und Layout-Templates auf unsichere Benutzerinput-Integration; Test auf reflected und stored XSS in benutzerdefinierten Theme-Anpassungen und Metafield-Rendering.
App-Proxy-Endpunkt-Sicherheit: Pruefung ob App-Proxy-Endpunkte die Shopify-HMAC-Signatur korrekt validieren; Test auf direkte Zugriffe am Proxy vorbei; Autorisierungspruefung fuer shop-spezifische Datenzugriffe.
Webhook-Signatur-Validierung: Systematische Tests ob alle Webhook-Handler die X-Shopify-Hmac-SHA256-Signatur verifizieren; Simulation gefaelschter Webhook-Events (Order-Paid, Fulfillment-Created, Inventory-Update).
OAuth-Flow-Sicherheit fuer Shopify-Apps: Pruefung des State-Parameters gegen CSRF; Redirect-URI-Validierung; Token-Speicherung und -Rotation; Scope-Minimierung (Principle of Least Privilege).
Checkout-Logik und Preismanipulation: Test ob Checkout-Extensions korrekte Preisberechnung serverseitig erzwingen; Pruefung auf client-seitige Preismanipulation; Coupon-Code-Limitierungen und Rate-Limiting.
Metafield- und Custom-Data-Exposition: Pruefung ob Metafields, die interne Daten enthalten (z.B. interne Rabattregeln, Bestandsdaten), durch die Storefront-API oder Theme-Code exponiert werden.
Storefront-API und GraphQL-Sicherheit: Rate-Limiting-Pruefung; Datenenumeration ueber Produktvarianten-IDs; Customer-Account-Isolation; Private-App-Token-Sicherheit.
Third-Party-App-Risikobewertung: Inventarisierung aller installierten Shopify-Apps und Bewertung ihrer Berechtigungen; Identifikation von Apps mit uebermaessigen Store-Berechtigungen; bekannte CVEs in populaeren Shopify-Apps.
Datenschutz und DSGVO-Konformitaet: Pruefung ob Kundendaten korrekt geschuetzt sind; DSGVO-Datenloesch-Requests via Shopify-Webhooks implementiert sind; Cookie-Consent korrekt umgesetzt ist.
Subdomainen-Takeover-Risiken: Pruefung auf DNS-Eintraege, die auf nicht mehr genutzte Shopify-Storefronts oder App-Proxies zeigen und fuer Subdomain-Takeover anfaellig sein koennten.

Beispiel-Befund

Hoch

Webhook-Signatur-Validierung fehlt -- gefaelschte Order-Paid-Events akzeptiert

Der Fulfillment-Service-Webhook-Handler (POST /webhooks/order-paid) verarbeitet eingehende Shopify-Webhooks ohne Validierung der X-Shopify-Hmac-SHA256-Signatur. Im Test war es moeglich, ein gefaelschtes 'order.paid'-Event zu senden, das den Fulfillment-Prozess ausloeste und eine virtuelle Produktlizenz generierte, ohne dass eine tatsaechliche Zahlung stattfand. Der Angriff erfordert lediglich Kenntnis der Webhook-URL, die durch Analyse der App-Installationsparameter ermittelt werden konnte.

Behebung: Implementierung der HMAC-SHA256-Signaturvalidierung fuer alle Webhook-Handler: Das X-Shopify-Hmac-SHA256-Header gegen den berechneten HMAC des Request-Bodys mit dem Client-Secret als Schluessel vergleichen. Konstant-Zeit-Vergleich verwenden (crypto.timingSafeEqual in Node.js) um Timing-Angriffe zu verhindern. Webhook-URL-Rotation nach Sicherheitsvorfall. Shopify-Dokumentation: 'Verify a webhook'.

Referenz: CVE-2022-21664 (Shopify Marketplace) · OWASP A02:2021 Cryptographic Failures · CWE-347 Improper Verification of Cryptographic Signature · Shopify Webhook Security Docs

Shopify Pentest: Optionen im Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

Shopify Pentest Pakete

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Haeufige Fragen zum Shopify Penetrationstest

Ist Shopify als Plattform nicht bereits sicher genug? Wozu brauche ich einen eigenen Pentest?

Shopify sichert die Plattforminfrastruktur (Hosting, Datenbankserver, Netzwerk). Ihre Verantwortung als Haendler umfasst: Theme-Code und JavaScript-Anpassungen, Custom-App-Logik und -Endpunkte, Webhook-Handler auf Ihrer eigenen Infrastruktur, Drittanbieter-Apps und deren Berechtigungen sowie die Integration mit externen Diensten (ERP, CRM, Logistik). Diese Ebenen sind nicht von Shopify geprrueft und koennen erhebliche Schwachstellen enthalten.

Wie erkenne ich ob mein Shopify-Theme XSS-Schwachstellen enthaelt?

Indikatoren fuer potenziell unsichere Theme-Implementierung: direktes Ausgeben von URL-Parametern in Liquid ohne '| escape'-Filter ({'param' | escape} ist korrekt); benutzerdefiniertes JavaScript das 'location.search', 'location.hash' oder URL-Parameter ohne Sanitisierung in den DOM einfuegt; dynamische HTML-Generierung mit Benutzerinput in JavaScript-Event-Handlern. Ein einfacher Test: Fuegen Sie '<script>alert(1)</script>' als Produktname oder Suchparameter ein und pruefen ob der Browser eine Warnung zeigt.

Welche Shopify-App-Berechtigungen (Scopes) sind besonders risikoreich?

Hochriskante Scopes: 'write_customers' (Kundendaten aendern), 'read_payment_mandate' (Zahlungsmandate), 'write_orders' (Bestellungen manipulieren), 'write_inventory' (Bestand aendern), 'write_price_rules' (Preisregeln aendern) und 'read_all_orders' (vollstaendige Bestellhistorie). Das Principle of Least Privilege gilt auch fuer Shopify-Apps: Jede App sollte nur die minimal notwendigen Scopes erhalten. Regulaere Pruefung installierter Apps und Entfernung nicht mehr genutzter Applikationen.

Wie validiere ich Shopify-Webhooks korrekt in meiner Node.js-Anwendung?

Korrekte Webhook-Validierung in Node.js: const crypto = require('crypto'); const hash = crypto.createHmac('sha256', process.env.SHOPIFY_WEBHOOK_SECRET).update(rawBody, 'utf8').digest('base64'); const valid = crypto.timingSafeEqual(Buffer.from(hash), Buffer.from(req.headers['x-shopify-hmac-sha256'])); Wichtig: Den rawBody (ungeparsten Request-Body als Buffer oder String) verwenden, nicht das geparste JSON-Objekt. Timing-sicheren Vergleich (timingSafeEqual) einsetzen.

Was sind die groessten Sicherheitsrisiken bei benutzerdefinierten Shopify-Apps?

Die haeufigsten Schwachstellen in Custom-Shopify-Apps: (1) fehlende oder fehlerhafte Webhook-Signatur-Validierung; (2) unsichere Speicherung des App-Secrets (hardcoded oder in Logs); (3) fehlende Autorisierungspruefung -- welcher Shop darf auf welche Daten zugreifen; (4) SSRF durch unsichere externe API-Calls mit shop-kontrollierten URLs; (5) unzureichendes Rate-Limiting an App-Proxy-Endpunkten.

Welche PCI-DSS-Anforderungen gelten fuer Shopify-Betreiber?

Shopify Payments-Nutzer profitieren von Shopifys PCI-DSS-Level-1-Zertifizierung und muessen typischerweise nur SAQ-A ausfuellen. Bei Nutzung externer Payment-Gateways oder eigener Zahlungsabwicklung steigen die PCI-DSS-Anforderungen. In jedem Fall gelten: Keine Kartenrohdaten speichern, sichere Uebertragung (TLS 1.2+), Zugriffsprotokollierung, regelmaessige Schwachstellenscans (PCI DSS Requirement 11.3) und Penetrationstests (Requirement 11.4). Matproof erstellt PCI-DSS-konforme Pentest-Berichte.

Wie sichert man Shopify Checkout Extensions gegen Preismanipulation ab?

Checkout Extensions und Shopify Functions laufen serverseitig auf Shopifys Infrastruktur, aber die Logik wird vom Haendler implementiert. Wichtige Sicherheitsprinzipien: (1) Preis- und Berechtigungslogik immer serverseitig berechnen und validieren -- niemals dem Client-State vertrauen; (2) Discount-Logik in Shopify Functions implementieren statt in JavaScript-Extensions; (3) Metafield-basierte Preisregeln gegen Manipulation durch Kunden absichern; (4) Order-Manipulation durch mangelhafte Validation von Custom-Attributes verhindern.

Wie oft sollte ein Shopify-Store einem Penetrationstest unterzogen werden?

Empfehlung: Jaehrlicher vollstaendiger Pentest plus Tests nach wesentlichen Aenderungen (Theme-Relaunch, neue Custom-Apps, neue Payment-Integration, Shopify-Major-Version-Migration). Fuer hochvolumige Stores (>100.000 EUR Umsatz/Monat) oder Stores mit sensiblen Kundendaten empfiehlt sich halbjaehrlicher Rhythmus. Matproof Sentinel ermoeglicht kontinuierliche Ueberwachung zwischen den Jahrespentests.

Vertiefen — verwandte Artikel aus unserem Blog

Shopify Penetrationstest jetzt starten

Schutzen Sie Ihren Shopify-Store und Ihre Kundendaten. Identifizieren Sie Liquid-SSTI, Theme-XSS und App-Sicherheitsluecken in wenigen Minuten. Audit-bereiter Bericht auf Deutsch fuer PCI-DSS-Compliance.