სხვა მომხმარებლების სახელით დაამატეთ აღწერილობა Instagram Posts- ში - 6500 $

გამარჯობა მეგობრებო, ეს კიდევ ერთხელ არის JubaBaghdad, დღეს მინდა გაგიზიაროთ საინტერესო ხარვეზი, რომელიც Instagram- ში აღმოვაჩინე, რომელიც სხვა მომხმარებლებისთვის აღწერილობის დამატება შემიძლია. პოსტები, მზად ხართ! :)

მოძიების ისტორია

2018 წლის 6 აგვისტოს იდეა გამიჩნდა, მინდოდა Instagram- ის ორი ფაქტორიანი ავთენტიფიკაცია (2fa) გადავწყვიტო ფეისბუქის გვერდიდან, რადგან ფეისბუქის გვერდზე არის ვარიანტი, რომელიც საშუალებას გაძლევთ მართოთ Instagram, დამატებითი ინფორმაციისთვის იხილეთ ეს ბმული.

გადავიცვალე Facebook– ის ტესტირების გვერდი და დავამატე Instagram ჩანართი და შევეცადე შესვლა ძველი Instagram- ის ანგარიშის გამოყენებით, მაგრამ ვერ შევედი შესვლა, რადგან დამავიწყდა ჩემი პაროლი, როგორც ყოველთვის :)

თქვენ შეგიძლიათ მართოთ თქვენი Instagram ანგარიში თქვენი Facebook გვერდიდან

ამის შემდეგ მე გავხსენი Instagram ჩემი ბრაუზერიდან, რომ დავინახო, ჩემი ანგარიში ჯერ კიდევ არსებობს თუ არა და ეს მე დავინახე:

ასე გამოიყურება Instagram– ში, როდესაც ის გახსნით მას ვებ – ბრაუზერიდან

თუ ზემოთ მოცემულ სურათს გადავხედავთ, იქნებ არ შეამჩნიოთ რაიმე საინტერესო რამ, მაგრამ ჩემთვის ეს მართლაც საინტერესო იყო !! რატომ !! იმის გამო, რომ მე უკვე დავამოწმე Instagram- ის ვებ აპლიკაცია. ადრე და მე მაქვს ეს ჩვევა, რომელიც მახსოვს ვარიანტებისა და მახასიათებლების დამახსოვრებას, რათა სწრაფად შევამჩნიო ნებისმიერი ახალი თვისება, ისევ გადახედეთ ზემოთ მოცემულ სურათს და ნახავთ, რომ არსებობს საინტერესო ვარიანტი, სახელწოდებით IGTV.

რა არის IGTV:

IGTV, ახალი ფუნქციაა თქვენი საყვარელი Instagram შემქმნელების გრძელი, ვერტიკალური ვიდეოს ყურებისას, დამატებითი ინფორმაციისთვის იხილეთ ამ ბმულზე.

ამ ფუნქციის შესახებ ბევრი რამ წავიკითხე Instagram- ის ინფო ცენტრისგან და გადავწყვიტე მისი ტესტირება :)

ასე რომ, მე შევქმენი IGTV ვიდეო, მას შემდეგ რაც შევქმენი, დააჭირეთ რედაქტირების ვარიანტს და ჩავწერე მოთხოვნა burpsuite– ით თუ რა სახის პარამეტრებია ამ მახასიათებლის შიგნით და ვნახე ეს:

POST / media / 1887820989027383407 / რედაქტირება /
caption = ტესტი & გამოქვეყნება_mode = igtv & title = ტესტი

მოდით, გავაანალიზოთ ზემოთ მოყვანილი მოთხოვნა და ვნახოთ, რა გვაქვს ჩვენს ხელში:

1- media id = 1887820989027383407 ===> არის ჩემი IGTV ვიდეოს პირადობის მოწმობა, მე ვეძიებდი მედიის პირადობის მოწმობას და შევამჩნიე, რომ Instagram ეხება ნებისმიერ პოსტს (ფოტო, ვიდეო და IGTV ვიდეო) მედიის პირადობის მოწმობით და შემიძლია მივიღო ნებისმიერი მედიის ID სხვა მომხმარებლების შეტყობინებები მხოლოდ მათი შეტყობინებების მონახვებით და წყაროების კოდით ნახავთ:

შეგიძლიათ მიიღოთ ნებისმიერი პოსტის მედიის ID საწყისი წყარო კოდიდან

2- მედიის პირადობის მოპოვების კიდევ ერთი გზა, მხოლოდ მომხმარებლის პოსტის მონახულებისას, მოგეწონებათ და მოთხოვნის დაკვირვებით Burpsuite– ით (ეს PoC ვიდეოში გამოვიყენე).

3- პარამეტრები (სათაური და სათაური)

როდესაც Instagram- ში შექმნით რაიმე ფოტოს ან ვიდეოს, ვებ აპლიკაცია მოგთხოვთ, რომ განათავსოთ აღწერილი ამ ფოტოზე ან ვიდეოზე (სურვილისამებრ შეგიძლიათ დატოვოთ იგი ცარიელი, როგორც ამას აკეთებენ მილიონობით მომხმარებელი :)), IGTV– ში, სათაურიც აღწერილ სურათს ეხება.

მაგარია, ჩვენ მივიღეთ ინფორმაცია, რაც გვინდა, რა არის შემდეგ !!

თუ ზემოთ აღნიშნულ თხოვნას შენიშნავდით, ჩვენ გვაქვს Media ID, ასე რომ, როგორც შეცდომების შემსრულებლები, რასაკვირველია, ჩვენ შევეცდებით Instagram სერვერის მოტყუებას და ამ მედიის ID- ს სხვა მომხმარებლის Media ID- ს შეცვლას და ვნახოთ, შეგვიძლია შევაჩეროთ სისტემა და დავამატოთ აღწერილობა სხვა მომხმარებლის შეტყობინებებში. მათ სახელით !!?

ტესტირების ეტაპი

ამ ტესტირებისას ჩემს სხვა საცდელ ანგარიშზე შესამოწმებლად, ქვემოთ მოცემულ რამეზე შევნიშნე:

  • მე შემიძლია დავამატო აღწერილობა სხვა მომხმარებლების შეტყობინებებში (ჩემი მედიის პირადობის მოწმობის ჩანაწერის შეცვლით), თუ მათ შეტყობინებებს არ დაუყენებიათ.
  • იგი მუშაობს ყველა სახის შეტყობინებაში, როგორიცაა ფოტოები, ვიდეო და IGTV ვიდეო.
  • ის მუშაობს მხოლოდ საჯარო ანგარიშებზე.
  • ყველაზე უცნაური რამ, ამ პასუხმა მომცა შინაგანი სერვერის შეცდომა შეცდომის შესახებ გაგზავნილ შეტყობინებასთან "შეცდომა მოხდა", სამაგიეროდ შეცდომა მუშაობს ხიბლის მსგავსად, თქვენ ნახავთ, რომ ქვემოთ მოცემულია ჩემი PoC ვიდეო.

რატომ არის ეს საშიში ეს საშიში

  • უამრავმა მომხმარებელმა (მილიონობით ანგარიში) Instagram- ზე გამოაქვეყნა მათი პროფილი.
  • თუ ჩვენ ვხედავთ ნებისმიერ საჯარო ანგარიშს, ჩვენ შეგვიძლია ვიპოვნოთ მინიმუმ ერთი პოსტი, რომელსაც აღწერილობა არ აქვს, რაც შეცდომებს ასრულებს თითქმის მილიონობით ანგარიშში.
  • თუ ეს შეცდომა ცუდი ხელში იყო (შავი ქუდი), მას შეუძლია მიზანში მოჰყვეს ყველაზე შემდეგ_Instagram_accounts იხილეთ ეს ბმული.
  • Instagram- ის მომხმარებელთა უმეტესობა, მათ შორის ცნობილი სახეები, დაუცველია ამ შეცდომის გამო, რადგან ისინი პოსტებს აკეთებდნენ აღწერილობის დამატების გარეშე, მაგალითად:

Mark zuckerberg ===> 4.6 მილიონი მიმდევარი ==> იხილეთ მისი პოსტი

სელენა გომესი ===> 140 მილიონი მიმდევარი ===> ნახეთ მისი პოსტი

არიანა გრანდე ====> 125 მილიონი მიმდევარი ==> ნახეთ მისი პოსტი

ბიონსე =====> 117 მილიონი მიმდევარი ====> ნახეთ მისი პოსტი

კიმ კარდაშიანი ===> 115 მილიონი მიმდევარი ==> ნახეთ მისი პოსტი

ლიონელ მესი:) ====> 97 მილიონი მიმდევარი ===> ნახეთ მისი პოსტი

სია რამდენჯერმე გრძელია :), ასე რომ წარმოიდგინეთ, რომ ამაზე ცუდი შეცდომები ცუდი ხელებითაა შესაძლებელი, ეს შეიძლება გამოიწვიოს დიდი მედიის ჰიპების საშუალებით, ცნობილი ადამიანების მაგალითზე გამიზნვით, ან შექმნას დიდი პრობლემები გიგანტურ კომპანიებს შორის, როგორიცაა apple და მის კონკურენტს Samsung :). და ასე შემდეგ.

მე ეს შეცდომები პირდაპირ Facebook Security Team- ს შესახებ მივაწოდე და მათ მხოლოდ ერთი დღის განმავლობაში დააფიქსირეს, გამოსწორება ძალიან სწრაფად მოხდა შეცდომის სიმძიმის გამო, მათ ასევე დააჯილდოვეს გასაოცარი ბონუსი 6500 $

მადლობას ვუხდი Facebook Security Team- ს ამ შესანიშნავი Bounty- სთვის.

ასევე მინდა მადლობა გადავუხადო ჩემს მეგობარს კასემ ბაზზუნს მისი უზარმაზარი მხარდაჭერისთვის და დამეხმარა ამ შეცდომასთან დაკავშირებით. მადლობა მილიონ ძმას. :)

ვადები: აგვისტო. 06, 2018 - საწყისი ანგარიში აგვისტო. 14, 2018 - რეპორტაჟი გაწერილი 3 აგვისტო. 2018 წლის 15 იანვარი - შეცდომით დაფიქსირდა აგვისტო. 2018 წლის 15 იანვარი - ფიქსის დადასტურებული ოქტომბერი. 10, 2018–6500 $ დაჯილდოვდა

PoC ვიდეო:

Takeways:

  • არ არის დამოკიდებული მხოლოდ რეაგირებაზე, ზოგჯერ შეცდომა მოგდის, მაგრამ იმის ნაცვლად, რომ შენი შეცდომა იმუშავებს, გავიგე, რომ როდესაც რამდენიმე თვის წინ ვნახე ვიდეო ჩემი მეგობრის, აბდელა იალას, ნახეს მისი ვიდეო წუთში 1:22, ასე რომ თქვენ უნდა შეამოწმოთ რას ასრულებთ ვებ აპლიკაციიდან. ასევე
  • დროდადრო შეამოწმეთ თქვენი სამიზნე და შეამოწმეთ არის თუ არა რაიმე ახალი ვარიანტი ან მახასიათებელი (როდესაც ახალი ფუნქცია არსებობს ახალი ხარვეზი).
  • შეეცადეთ დაიმახსოვროთ თქვენი სამიზნე ვარიანტები, ეს გახდის თქვენ იდენტიფიცირებას ნებისმიერი ახალი ვარიანტი სწრაფად, როგორც მე :).

Გმადლობთ

სარმად ჰასანი (JubaBaghdad)