Lisage teiste kasutajate nimel Instagrami postituste kirjeldus - 6500 $

Tere, inimesed, see on jälle JubaBaghdad, täna tahaksin teiega jagada huvitavat viga, mille leidsin Instagramist ja mis võimaldab mul lisada kirjelduse teistele kasutajatele. Kas olete valmis !! :)

Leiu lugu

6-august-2018 tuli mulle pähe idee, ma tahtsin Facebooki lehelt kahefaktorilisest autentimisest (2fa) mööda minna, kuna Facebooki lehel on üks võimalus, mis võimaldas teil hallata Instagrami, lisateavet leiate sellest link.

Lülitasin oma Facebooki testlehe sisse ja klõpsasin vahekaarti Instagram ja proovisin sisse logida oma vana Instagrami konto abil, kuid ma ei saanud sisse logida, kuna unustasin parooli nagu tavaliselt :)

Oma Instagrami kontot saate hallata oma Facebooki lehel

Pärast seda avasin oma veebibrauserist Instagrami, et näha, kas mu konto on endiselt olemas või mitte, ja nägin seda:

Nii näeb Instagram välja, kui avate selle veebibrauserist

Kui vaatate ülaltoodud pilti, siis võib-olla ei märka te ühtegi huvitavat, aga minu jaoks oli see tõesti huvitav !! Miks !! Sest ma juba testisin Instagrami veebirakendust. enne seda ja mul on selline komme, mis jätab meelde võimalused ja funktsioonid, et saaksin kiiresti uusi funktsioone märgata. Vaadake uuesti ülaltoodud pilti ja näete, et seal on huvitav võimalus nimega IGTV.

Mis on IGTV:

IGTV on uus funktsioon, mille abil saate vaadata oma Instagrami lemmikvormide pika vormiga vertikaalset videot. Lisateavet leiate sellel lingil.

Lugesin selle funktsiooni kohta Instagrami teabekeskusest palju ja otsustasin seda testida :)

Nii et ma lõin IGTV video, pärast selle loomist klõpsasin redigeerimise suvandil ja katkestasin taotluse burpsuite abil, et näha, millised parameetrid selle funktsiooni sees on, ja nägin seda:

POST / meedium / 1887820989027383407 / muuda /
pealdis = test ja avalda režiim = igtv ja pealkiri = test

OK, analüüsime ülaltoodud taotlust ja vaatame, mis meil käes on:

1- media id = 1887820989027383407 ===> on minu IGTV video ID, otsisin meedia ID-st ja panin tähele, et Instagram viitab meedium ID-ga mis tahes postitusele (foto, video ja IGTV video) ja ma võin hankida mis tahes meedia ID teiste kasutajate postitused, külastades lihtsalt nende postitusi ja vaadates lähtekoodi:

Lähtekoodist saate iga postituse meedium ID

2 - Veel üks viis meedium ID saamiseks, külastades lihtsalt kasutaja postitust, klõpsake nagu ja peatage taotlus burpsuite'iga (kasutasin seda oma PoC-videos).

3 - parameetrid (pealkiri ja pealkiri)

kui loote Instagramis mõnda fotot või videot, paluge veebirakendusel lisada sellele fotole või videole kirjeldus (see on valikuline, võite selle tühjaks jätta, nagu seda teevad miljonid kasutajad :)), viitab IGTV-s ka subtiitrite kirjeldus kirjeldusele.

Lahe, saime kogu teabe, mida tahame, mida edasi !!

Kui märkasite ülaltoodud taotlust, on meil meedium ID, nii et muidugi proovime vea jahimeestena trügida Instagrami serverit ja muuta see meedium ID teiseks kasutaja meedium ID-ks ja vaadata, kas saame süsteemi petta ja teistele kasutajatele postitusi lisada. nende nimel !! ??

Testimisetapp

katsetades seda oma teisel testkontol, märkasin allpool järgmisi asju:

  • Saan lisada kirjelduse teiste kasutajate postitustele (asendades oma meediatunnuse nende postituse meedium ID-ga), kui nad ei lisanud oma postitustele kirjeldust.
  • See töötab igasugustes postitustes, nagu fotod, videod ja IGTV-videod.
  • See töötab ainult riigikontodel.
  • Kõige veidram, vastus andis mulle sisemise serveri tõrke veateatega „Vabandust, ilmnes tõrge”, kuid viga töötab selle asemel nagu võlu, näete seda minu PoC-videost allpool.

Miks see viga on nii ohtlik

  • Paljud kasutajad (miljonid kontod) Instagramis seadsid oma profiili avalikkusele.
  • Kui otsime mõnel avalikul kontol, võime leida vähemalt ühe postituse, millel pole kirjeldust ja mis teeb vea toimimiseks peaaegu miljonites kontodes.
  • Kui see viga oli halbades kätes (must müts), saab ta sihtida kõige rohkem jälgitud_Instagram_kontosid selle lingi nägemiseks.
  • Enamik Instagrami kasutajaid, sealhulgas kuulsused, on selle vea suhtes haavatavad, kuna nad tegid postitusi ilma kirjeldust lisamata, näiteks:

Mark zuckerberg ===> 4,6 miljonit jälgijat ==> vaata tema postitust

Selena Gomez ===> 140 miljonit jälgijat ===> vaata tema postitust

Ariana Grande ====> 125 miljonit jälgijat ==> vaata tema postitust

Beyoncé =====> 117 miljonit jälgijat ====> vaata tema postitust

Kim Kardashian ===> 115 miljonit jälgijat ==> vaata tema postitust

Lionel Messi:) ====> 97 miljonit jälgijat ===> vaata tema postitust

Loetelu on nii pikk :), nii et kujutage ette, nagu suur viga on sellistes halbades kätes, see võib viia suure meedia hüpini, sihtides kuulsusi eeskujuks, või tekitada suuri probleeme selliste hiiglaslike ettevõtete vahel nagu õun ja tema konkurent Samsung:) ja nii edasi.

Teatasin sellest veast otse Facebooki turbemeeskonnale ja nad parandasid selle ainult ühe päeva jooksul. Parandus oli vea tõsiduse tõttu nii kiire, premeerisid nad mulle ka vinge pearaha 6500 dollarit

Tahaksin tänada Facebooki turbemeeskonda selle vinge Bounty eest.

Samuti tahaksin tänada oma sõpra Kassem Bazzoun tema tohutu toetuse ja abistamise eest selle vea eest. Tänu miljon venda. :)

Ajaskaala: august. 06, 2018 - Esialgne aruanne august. 14, 2018 - Report Triaged August. 15, 2018 - viga parandatud august. 15, 2018 - parandatud kinnitatud oktoober. 10, 2018–6500 $ autasu

PoC video:

Kiirteed:

  • Ei sõltu ainult vastusest, mõnikord annab see teile vea, kuid selle asemel töötab teie viga, sain teada, et kui nägin paar kuud tagasi oma sõbra Abdellah Yaala videot, nägi tema videot hetkel 1:22, nii et peate kontrollima, mida testite veebirakendusest. ka.
  • Proovige aeg-ajalt kontrollida oma eesmärki ja kontrollida, kas on mingeid uusi võimalusi või funktsioone (kui uus funktsioon on, on uus viga).
  • Proovige oma sihtimisvalikud meelde jätta, see aitab teil kõik uued võimalused kiiresti tuvastada, nagu ma tegin :).

Aitäh

Sarmad Hassan (JubaBagdad)