Dodajte opis u Instagram postove u ime drugih korisnika - 6500 $

Pozdrav ljudi, opet je JubaBaghdad, danas bih želio podijeliti s vama zanimljiv bug koji sam pronašao na Instagramu koji mi omogućuje dodavanje opisa drugim korisnicima Posta, jeste li spremni !! :)

Priča o pronalasku

6. kolovoza 2018. pala mi je ideja, htio sam zaobići dvofaktornu provjeru autentičnosti (2fa) Instagrama s Facebook stranice, jer na Facebooku postoji opcija koja vam je omogućila Upravljanje Instagramom, za više detalja pogledajte ovo veza.

Prebacio sam se na svoju Facebook stranicu za testiranje i kliknuo na karticu Instagram i pokušao se prijaviti pomoću starog Instagram računa, ali nisam se mogao prijaviti jer sam zaboravio lozinku kao i obično :)

Svojim Instagram računom možete upravljati svojim Instagram računom

Nakon toga otvorio sam Instagram iz svog web preglednika kako bih vidio postoji li moj račun ili ne i vidio sam ovo:

Ovako izgleda Instagram kada ga otvorite iz web preglednika

Ako pogledate gornju sliku možda nećete primijetiti nijednu zanimljivu stvar, ali za mene je to bila zaista zanimljiva !! Zašto !! Jer već sam testirao Instagram aplikaciju na Instagramu. prije i imam tu naviku koja pamti opcije i značajke, tako da brzo mogu primijetiti bilo koju novu značajku. Pogledajte ponovo gornju sliku i vidjet ćete da postoji zanimljiva opcija pod nazivom IGTV.

Što je IGTV:

IGTV, nova je značajka za gledanje dugotrajnog vertikalnog videa vaših omiljenih Instagram kreatora, za više detalja pogledajte ovu vezu.

Čitao sam puno o ovoj značajki iz Instagram Info Centra i odlučio je testirati :)

Tako sam stvorio IGTV videozapis, nakon što sam ga stvorio kliknuo sam na mogućnost uređivanja i presreo zahtjev sa grožđem da vidim kakvi su parametri unutar ove značajke i vidio sam ovo:

POST / mediji / 1887820989027383407 / uredi /
opis = test & publish_mode = igtv & naslova = test

OK, analizirajmo gore navedeni zahtjev i vidimo što imamo u svojim rukama:

1- medija id = 1887820989027383407 ===> ID je mog IGTV videozapisa, pretražio sam ID medija i primijetio da se Instagram odnosi na bilo koji post (fotografiju, video i IGTV video) s ID-om medija i mogu dobiti bilo koji medijski ID za postovi drugih korisnika samo posjećivanjem njihovih postova i gledanjem izvornog koda:

Medijski ID bilo kojeg posta možete dobiti iz izvornog koda

2. Drugi način da se dobije ID medija, samo posjetom korisničkom postu, pogodak i presretanje zahtjeva s burpsuitom (koristio sam ga u svom PoC videu).

3- Parametri (naslov i naslov)

kad u Instagramu stvorite bilo koju fotografiju ili videozapis, web aplikacija traži da dodate opis te fotografije ili videozapisa (nije obavezno, možete je ostaviti praznom kao što to čine milijuni korisnika :)), Na IGTV-u se opis odnosi i na Opis.

Super, imamo sve podatke koje želimo, što dalje !!

Ako ste primijetili gornji zahtjev, imamo ID medija, pa ćemo naravno, kao lovci na bugove, pokušati prevariti Instagram poslužitelj i promijeniti taj medijski ID u drugi User Media ID i vidjeti, možemo li izigrati sustav i dodati opis drugim postovima korisnika u ime njih !! ??

Faza ispitivanja

dok sam to testirao na svom drugom testnom računu, primijetio sam u nastavku:

  • Mogu dodati opis drugim korisnicima postova (ako zamijenim svoj ID medija s medijskim ID-om njihova posta), ako oni nisu postavili nikakav opis svojim postovima.
  • Radi u svim vrstama postova poput fotografija, videozapisa i IGTV videozapisa.
  • Djeluje samo na javne račune.
  • Najčudnija stvar, odgovor mi je dao internu pogrešku poslužitelja s porukom o pogrešci "Ups, dogodila se pogreška", ali umjesto toga bug djeluje poput šarma, to ćete vidjeti u mom PoC videozapisu u nastavku.

Zašto je ova buba tako opasna

  • Mnogo korisnika (milijuni računa) na Instagramu postavlja svoj profil za javnost.
  • Ako pretražimo na bilo kojem javnom računu, možemo pronaći barem jedan post bez opisa koji bi učinio bug na gotovo milijunima računa.
  • Ako je ovaj bug u lošim rukama (crni šešir), može ciljati najgledaniji_Instagram_accounts pogledajte ovu vezu.
  • Većina korisnika Instagrama, uključujući slavne osobe, ranjiva je na ovu pogrešku, jer su prije stvarali postove bez dodavanja opisa, na primjer:

Mark zuckerberg ===> 4.6 Milijuni sljedbenika ==> pogledajte njegov post

Selena Gomez ===> 140 milijuna sljedbenika ===> pogledajte njezin post

Ariana Grande ====> 125 milijuna sljedbenika ==> pogledajte njezin post

Beyoncé =====> 117 milijuna sljedbenika ====> pogledajte njezin post

Kim Kardashian ===> 115 milijuna sljedbenika ==> pogledajte njezin post

Lionel Messi:) ====> 97 milijuna sljedbenika ===> pogledajte njegov post

Popis je tako dugačak :), pa zamislite da je takva buba u lošim rukama, mogla bi dovesti do velikog medijskog hypea ciljajući na poznate osobe, primjerice, ili stvoriti velike probleme između divovskih kompanija poput Applea i njegovog konkurenta Samsung :) i tako dalje.

Prijavio sam ovu bugu izravno Facebookovom timu za sigurnost i oni su je riješili samo u roku jednog dana, popravljanje je bilo tako brzo zbog ozbiljnosti bugova, nagradili su me i nevjerojatnih 6500 $

Želio bih se zahvaliti Facebookovom timu za sigurnost na ovom sjajnom Bountyju.

Također želim zahvaliti mom prijatelju Kassem Bazzoun na ogromnoj podršci i pomoći mi u ovom bugu. Hvala milijun braće. :)

Vremenska crta: kolovoz. 06. 2018. - Početno izvješće kolovoz. 14, 2018. - Izvještaj kolovoza kolovoza. 15, 2018. - Ispravljen program za kolovoz. 15, 2018. - Fiks potvrđen listopad. 10, 2018–6500 $ Dodijeljena nagrada

PoC Video:

Takeways:

  • Ne ovisi samo o odgovoru, ponekad vam daje grešku, ali umjesto toga vaš će bug raditi, saznao sam da sam, kad sam prije nekoliko mjeseci vidio video mog prijatelja Abdellaha Yaala, video njegov video u minutu 1:22, morate provjeriti što testirate iz web aplikacije. isto.
  • Povremeno pokušajte provjeriti svoj cilj i provjerite postoji li nova opcija ili značajka (kada postoji nova značajka, pojavljuje se nova pogreška).
  • Pokušajte zapamtiti svoje ciljne mogućnosti, brzo ćete prepoznati bilo koju novu opciju, baš kao što sam to i učinio :).

Hvala vam

Sarmad Hassan (JubaBaghdad)