挖洞经验 | 一个非常简单的Instagram逻辑漏洞($XXXX)

白帽子论坛 2月前 212

本文分享的是作者通过普通浏览就发现的Instagram的一个逻辑漏洞,漏洞非常非常非常简单,最终该漏洞获得了Facebook官方$XXXX的奖励和榜单致谢,作者也收获了漏洞测试的一些新思路和新视角,我们一起来看看。

我平时不怎么用Instagram,但是,有天晚上我突然需要确认一下我的Instagram账户,于是我进行了登录,由于好长时间不用,我想把密码更改成一个容易记住的,所以我去到了设置项中更改了密码。

但当更改完密码之后,我在设置栏中发现了一个新功能-“Authorized App”,经过了解可知这是一个授权第三方APP应用访问我Instagram数据的功能,其中存在两个按钮“Active“和”Expired”,当我点击“Active“之后,我看到了一个经授权激活的第三方APP-“TikTok”(抖音)。

可是,我从来没有TikTok账户,也从来没在Instagram中授权过TikTok啊!之后,我只有通过其中的可选按钮“Remove”进行了删除,但是,点击“Remove”之后,在页面左下角又跳出了一个告警消息“there was a problem revoking access”(撤销出错)。

我想,这可能属于逻辑漏洞范畴,所以我选择上报给了Facebook,之后,Facebook收下了该漏洞并给予了我$XXXX的奖励以及榜单致谢。

*参考来源:medium,clouds 编译整理,

本文来自freebuf



上一篇:安全小游戏:寻找漏洞
下一篇:如何使用XSpear完成XSS扫描与参数分析
最新回复 (0)
返回
发帖
免责声明:本站部分资源来源于网络,如有侵权请发邮件(bmz@baimaozi.cn)告知我们,我们将会在24小时内处理。