Дадайце апісанне ў Instagram-паведамленні ад імя іншых карыстальнікаў - 6500 $

Прывітанне, зноў гэта JubaBaghdad, сёння я хацеў бы падзяліцца з вамі цікавай памылкай, якую я знайшоў у Instagram, што дазваляе мне дадаць апісанне іншым карыстальнікам паведамленняў, ці гатовыя вы !! :)

Гісторыя знаходкі

У жніўні 2018 года ідэя прыйшла мне ў галаву, я хацеў абыйсці двухфакторную аўтэнтыфікацыю (2fa) Instagram са старонкі Facebook, таму што на старонцы ў Facebook ёсць магчымасць, каб вы маглі кіраваць Instagram, больш падрабязна глядзіце гэта спасылка.

Я перайшоў на сваю тэставую старонку ў Facebook і націснуў на ўкладку Instagram і паспрабаваў увайсці, выкарыстоўваючы стары ўліковы запіс Instagram, але не змог увайсці, бо забыў пароль, як звычайна :)

Вы можаце кіраваць сваім уліковым запісам Instagram са сваёй старонкі Facebook

Пасля гэтага я адкрыў Instagram са свайго вэб-браўзэра, каб даведацца, ці існуе мой уліковы запіс, і я ўбачыў гэта:

Так выглядае Instagram, калі вы адкрываеце яго з вэб-браўзэра

Калі вы паглядзіце прыведзеную выяву, магчыма, вы не заўважыце нічога цікавага, але для мяне гэта было сапраўды цікава !! Чаму !! Таму што я ўжо пратэставаў вэб-прыкладанне Instagram. да таго, як у мяне ёсць такая звычка, якая запамінае параметры і функцыі, таму я магу хутка заўважыць любую новую функцыю, паглядзіце яшчэ раз на малюнак, і вы ўбачыце, што ёсць цікавы варыянт пад назвай IGTV.

Што такое IGTV:

IGTV - гэта новая функцыя для прагляду доўгафармаванага вертыкальнага відэа ад вашых любімых стваральнікаў Instagram, больш падрабязна глядзіце гэтую спасылку.

Я шмат чытаў пра гэтую функцыю ў Інфармацыйным цэнтры Instagram і вырашыў праверыць яе :)

Такім чынам, я стварыў відэа з IGTV, як толькі я стварыў яго, я націснуў на опцыю рэдагавання і перахапіў запыт з мянушкай, каб даведацца, якія параметры ўнутры гэтай функцыі, і я ўбачыў гэта:

POST / media / 1887820989027383407 / правіць /
caption = тэст і публікацыя_mode = igtv & title = тэст

ОК, давайце прааналізуем прыведзены вышэй запыт і паглядзім, што ў нас у руках:

1- медыя-ідэнтыфікатар = 1887820989027383407 ===> ідэнтыфікатар майго відэа IGTV, я шукаў пра медыя-ідэнтыфікатар і заўважыў, што Instagram спасылаецца на любы пост (фота, відэа і відэа з IGTV) з ідэнтыфікатарам мультымедыя, і я магу атрымаць любы ідэнтыфікатар медыя для паведамленні іншых карыстальнікаў, проста наведваючы іх паведамленні і праглядаючы зыходны код:

Вы можаце атрымаць ідэнтыфікатар мультымедыя любога паведамлення з зыходнага кода

2 - Яшчэ адзін спосаб атрымаць ідэнтыфікатар мультымедыя, проста наведаўшы паведамленне карыстальніка, як быццам бы і перахапіўшы запыт з меткам (я выкарыстаў яго ў маім PoC-відэа).

3- Параметры (загаловак і назва)

калі вы ствараеце любую фатаграфію ці відэа ў Instagram, вэб-дадатак прапануе вам даць апісанне гэтай фатаграфіі ці відэа (гэта неабавязкова. Вы можаце пакінуць яго пустым, як гэта робяць мільёны карыстальнікаў :)). У IGTV подпіс таксама ставіцца да апісання.

Крута, мы атрымалі ўсю інфармацыю, якую хочам, што далей !!

Калі вы заўважылі вышэйпаказаны запыт, мы маем медыя-ідэнтыфікатар, таму, як паляўнічыя на памылкі, мы, вядома, паспрабуем падмануць сервер Instagram і змяніць гэты ідэнтыфікатар мультымедыя на іншы ідэнтыфікатар медыя карыстальніка і паглядзім, ці можам мы падмануць сістэму і дадаць апісанне ў іншыя паведамленні карыстальнікаў ад іх імя !! ??

Стадыя тэсціравання

праверваючы гэта на сваім іншым тэставым рахунку, я заўважыў ніжэй:

  • Я магу дадаць апісанне ў паведамленні іншых карыстальнікаў (замяніўшы свой ідэнтыфікатар мультымедыя на ідэнтыфікатар мультымедыйнай публікацыі), калі яны не змясцілі апісання ў свае паведамленні.
  • Ён працуе ў любых публікацыях, як фота, відэа і відэа з IGTV.
  • Ён працуе толькі на дзяржаўных рахунках.
  • Самае дзіўнае, што ў адказ мне далі нумар унутранага сервера з паведамленнем пра памылку "На жаль, адбылася памылка", але замест гэтага памылка працуе як шарм, вы ўбачыце, што гэта ў маім відэа PoC ніжэй.

Чаму гэтая памылка настолькі небяспечная

  • Шмат карыстальнікаў (мільёны ўліковых запісаў) у Instagram усталёўваюць свой профіль агульнадаступным.
  • Калі мы будзем шукаць у любым публічным уліковым запісе, мы можам знайсці хаця б адзін пост, у якім няма апісанняў, якія прымусяць памылку працаваць амаль у мільёны ўліковых запісаў.
  • Калі гэтая памылка трапіла ў дрэнныя рукі (Чорная шапка), ён можа нацэліць на найбольш праследаваныя_Instagram_accounts па спасылцы.
  • Большасць карыстальнікаў Instagram, у тым ліку знакамітасці, уразлівыя перад гэтай памылкай, таму што яны рабілі публікацыі без дадання апісання, напрыклад:

Марк Цукерберг ===> 4,6 мільёна паслядоўнікаў ==> глядзіце яго пост

Селена Гомес ===> 140 мільёнаў паслядоўнікаў ===> глядзіце яе пост

Арыяна Грандэ ====> 125 мільёнаў паслядоўнікаў ==> глядзіце яе пост

Beyonce =====> 117 мільёнаў паслядоўнікаў ====> глядзіце яе пост

Кім Кардашян ===> 115 мільёнаў паслядоўнікаў ==> глядзіце яе пост

Ліянэль Месі:) ====> 97 мільёнаў паслядоўнікаў ===> глядзі ягоны пост

Спіс настолькі доўгі :), таму, уявіце, высокая памылка, як гэта ў дрэнных руках, гэта можа прывесці да вялікага шуму ў сродках масавай інфармацыі, арыентуючыся на знакамітасцяў, як прыклад, альбо стварыць вялікія праблемы паміж гіганцкімі кампаніямі, такімі як Apple і яго канкурэнтам Samsung :) і гэтак далей.

Я паведаміў пра гэтую памылку непасрэдна ў службу бяспекі Facebook, і яны выправілі яе толькі на працягу аднаго дня, выпраўленне было так хутка з-за сур'ёзнасці памылкі, і яны ўзнагародзілі мяне дзівоснай шчодрасцю 6500 $

Я хацеў бы падзякаваць камандзе бяспекі Facebook за гэты дзіўны Баунт.

Таксама я хацеў бы падзякаваць майму сябру Касем Баззун за вялікую падтрымку і дапамогу мне з гэтай памылкай. Дзякуй мільёну бра. :)

Хроніка: жнівень. 06, 2018 - Першапачатковая справаздача за жнівень. 14, 2018 - Справаздача пра разбураны жнівень. 15, 2018 - Выпраўлены жнівень. 15, 2018 - Фікс пацверджаны кастрычнік. 10, 2018–6500 $ Узнагародзілі Bounty

PoC Video:

Узлёты:

  • Не залежыць толькі ад рэакцыі, часам яна стварае памылку, але замест гэтага ваша памылка спрацуе, я даведаўся, што, убачыўшы відэа некалькі месяцаў таму майго сябра Абдэлы Яалы, я ўбачыў яго відэа ў хвіліну 1.22, так вы павінны праверыць, што вы тэстуеце з вэб-прыкладання. таксама.
  • Паспрабуйце час ад часу правяраць мэта і праверыць, ці няма новай опцыі ці магчымасці (калі ёсць новая функцыя, ёсць новая памылка).
  • Паспрабуйце запамінаць мэтавыя параметры, гэта прымусіць вас хутка вызначыць любы новы варыянт, як і я :).

Дзякуй

Сармад Хасан (JubaBaghdad)