Instagram上的页面/个人帐户披露

点击蓝字 ·  关注我们

01

前言

这篇文章是关于我如何能够在Instagram上找到页面/个人帐户的披露。在我以前的博客中，我写了有关Page admin披露的文章，并且对该博客获得了很多积极的反馈。由于很多人都对这种漏洞披露感兴趣，所以我想在博客上介绍我的新发现并与大家分享。

02

正文

我正在测试Instagram和Facebook集成功能。如果您熟悉Instagram和Facebook页面集成，那么我相信您知道我们可以将我们的Instagram帐户链接到Facebook页面。我们还可以通过Facebook页面向instagram用户收发消息。消息中分配的Facebook页面角色如下所示：

当我从Facebook测试此Facebook消息功能时，我无法以任何方式获取管理员ID，但是当我从Instagram尝试此操作时，便能够在WebSocket响应中获取管理员ID。当从Facebook页面收件箱中将Instagram消息线程分配给page admin时，会向instagram账户发送一条websocket消息，该帐户会泄露分配的Facebook Page admin的ID。

深入研究此漏洞。首先，给我facebook页面链接的Instagram ID发送了一条消息。

当我从Facebook页面查看消息时，可以将其他管理员分配到对话中，如下图所示。

Instagram消息分配Facebook

当我向对话分配管理员时，所分配的管理员在Instagram Web socket响应中泄露。

页面管理员披露

此外，并不是很难找到哪个页面与该Instagram帐户相关联。您只需在https://i.instagram.com/api/v1/users/{id}/info/发送GET请求即可泄露与Instagram帐户链接的页面ID。

与Facebook页面链接的Instagram帐户

03

时间线

回复—2020年5月2日，星期六

确认—2020年6月8日，星期一

修复—2020年6月9日，星期二

赏金奖励—2020年6月18日，星期四

EDI安全

扫二维码｜关注我们

一个专注渗透实战经验分享的公众号