点击蓝字 · 关注我们
深入研究此漏洞。首先,给我facebook页面链接的Instagram ID发送了一条消息。
当我从Facebook页面查看消息时,可以将其他管理员分配到对话中,如下图所示。
Instagram消息分配Facebook
当我向对话分配管理员时,所分配的管理员在Instagram Web socket响应中泄露。
页面管理员披露
此外,并不是很难找到哪个页面与该Instagram帐户相关联。您只需在https://i.instagram.com/api/v1/users/{id}/info/发送GET请求即可泄露与Instagram帐户链接的页面ID。
与Facebook页面链接的Instagram帐户
回复—2020年5月2日,星期六
确认—2020年6月8日,星期一
修复—2020年6月9日,星期二
赏金奖励—2020年6月18日,星期四
EDI安全
扫二维码|关注我们
一个专注渗透实战经验分享的公众号
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论