Instagram上的页面/个人帐户披露

  • A+
所属分类:安全新闻

点击蓝字 ·  关注我们

01

前言

这篇文章是关于我如何能够在Instagram上找到页面/个人帐户的披露。在我以前的博客中,我写了有关Page admin披露的文章,并且对该博客获得了很多积极的反馈。由于很多人都对这种漏洞披露感兴趣,所以我想在博客上介绍我的新发现并与大家分享

02

正文

我正在测试Instagram和Facebook集成功能。如果您熟悉Instagram和Facebook页面集成,那么我相信您知道我们可以将我们的Instagram帐户链接到Facebook页面。我们还可以通过Facebook页面向instagram用户收发消息。消息中分配的Facebook页面角色如下所示:

Instagram上的页面/个人帐户披露


当我从Facebook测试此Facebook消息功能时,我无法以任何方式获取管理员ID,但是当我从Instagram尝试此操作时,便能够在WebSocket响应中获取管理员ID。当从Facebook页面收件箱中将Instagram消息线程分配给page admin时,会向instagram账户发送一条websocket消息,该帐户会泄露分配的Facebook Page admin的ID。


深入研究此漏洞。首先,给我facebook页面链接的Instagram ID发送了一条消息。


Instagram上的页面/个人帐户披露


当我从Facebook页面查看消息时,可以将其他管理员分配到对话中,如下图所示。


Instagram上的页面/个人帐户披露

Instagram消息分配Facebook


当我向对话分配管理员时,所分配的管理员在Instagram Web socket响应中泄露。


Instagram上的页面/个人帐户披露

页面管理员披露

此外,并不是很难找到哪个页面与该Instagram帐户相关联。您只需在https://i.instagram.com/api/v1/users/{id}/info/发送GET请求即可泄露与Instagram帐户链接的页面ID。


Instagram上的页面/个人帐户披露

与Facebook页面链接的Instagram帐户


03

时间线

回复—2020年5月2日,星期六

确认—2020年6月8日,星期一

修复—2020年6月9日,星期二

赏金奖励—2020年6月18日,星期四


EDI安全

Instagram上的页面/个人帐户披露

扫二维码|关注我们

一个专注渗透实战经验分享的公众号

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: