Dodajte opis u Instagram postove u ime drugih korisnika - 6500 $

Pozdrav ljudi, opet je JubaBaghdad, danas bih želio podijeliti s vama zanimljiv bug koji sam pronašao na Instagramu koji mi omogućuje dodavanje opisa drugim korisnicima Posta, jeste li spremni !! :)

Priča o pronalasku

6. kolovoza 2018. pala mi je ideja, htio sam zaobići dvofaktornu provjeru autentičnosti (2fa) Instagrama s Facebook stranice, jer na Facebooku postoji opcija koja vam je omogućila Upravljanje Instagramom, za više detalja pogledajte ovo veza.

Prebacio sam se na svoju Facebook stranicu za testiranje i kliknuo na karticu Instagram i pokušao se prijaviti pomoću starog Instagram računa, ali nisam se mogao prijaviti jer sam zaboravio lozinku kao i obično :)

Nakon toga otvorio sam Instagram iz svog web preglednika kako bih vidio postoji li moj račun ili ne i vidio sam ovo:

Ako pogledate gornju sliku možda nećete primijetiti nijednu zanimljivu stvar, ali za mene je to bila zaista zanimljiva !! Zašto !! Jer već sam testirao Instagram aplikaciju na Instagramu. prije i imam tu naviku koja pamti opcije i značajke, tako da brzo mogu primijetiti bilo koju novu značajku. Pogledajte ponovo gornju sliku i vidjet ćete da postoji zanimljiva opcija pod nazivom IGTV.

Što je IGTV:

IGTV, nova je značajka za gledanje dugotrajnog vertikalnog videa vaših omiljenih Instagram kreatora, za više detalja pogledajte ovu vezu.

Čitao sam puno o ovoj značajki iz Instagram Info Centra i odlučio je testirati :)

Tako sam stvorio IGTV videozapis, nakon što sam ga stvorio kliknuo sam na mogućnost uređivanja i presreo zahtjev sa grožđem da vidim kakvi su parametri unutar ove značajke i vidio sam ovo:

POST / mediji / 1887820989027383407 / uredi /

opis = test & publish_mode = igtv & naslova = test

OK, analizirajmo gore navedeni zahtjev i vidimo što imamo u svojim rukama:

1- medija id = 1887820989027383407 ===> ID je mog IGTV videozapisa, pretražio sam ID medija i primijetio da se Instagram odnosi na bilo koji post (fotografiju, video i IGTV video) s ID-om medija i mogu dobiti bilo koji medijski ID za postovi drugih korisnika samo posjećivanjem njihovih postova i gledanjem izvornog koda:

2. Drugi način da se dobije ID medija, samo posjetom korisničkom postu, pogodak i presretanje zahtjeva s burpsuitom (koristio sam ga u svom PoC videu).

3- Parametri (naslov i naslov)

kad u Instagramu stvorite bilo koju fotografiju ili videozapis, web aplikacija traži da dodate opis te fotografije ili videozapisa (nije obavezno, možete je ostaviti praznom kao što to čine milijuni korisnika :)), Na IGTV-u se opis odnosi i na Opis.

Super, imamo sve podatke koje želimo, što dalje !!

Ako ste primijetili gornji zahtjev, imamo ID medija, pa ćemo naravno, kao lovci na bugove, pokušati prevariti Instagram poslužitelj i promijeniti taj medijski ID u drugi User Media ID i vidjeti, možemo li izigrati sustav i dodati opis drugim postovima korisnika u ime njih !! ??

Faza ispitivanja

dok sam to testirao na svom drugom testnom računu, primijetio sam u nastavku:

• Mogu dodati opis drugim korisnicima postova (ako zamijenim svoj ID medija s medijskim ID-om njihova posta), ako oni nisu postavili nikakav opis svojim postovima.
• Radi u svim vrstama postova poput fotografija, videozapisa i IGTV videozapisa.
• Djeluje samo na javne račune.
• Najčudnija stvar, odgovor mi je dao internu pogrešku poslužitelja s porukom o pogrešci "Ups, dogodila se pogreška", ali umjesto toga bug djeluje poput šarma, to ćete vidjeti u mom PoC videozapisu u nastavku.

Zašto je ova buba tako opasna

• Mnogo korisnika (milijuni računa) na Instagramu postavlja svoj profil za javnost.
• Ako pretražimo na bilo kojem javnom računu, možemo pronaći barem jedan post bez opisa koji bi učinio bug na gotovo milijunima računa.
• Ako je ovaj bug u lošim rukama (crni šešir), može ciljati najgledaniji_Instagram_accounts pogledajte ovu vezu.
• Većina korisnika Instagrama, uključujući slavne osobe, ranjiva je na ovu pogrešku, jer su prije stvarali postove bez dodavanja opisa, na primjer:

Mark zuckerberg ===> 4.6 Milijuni sljedbenika ==> pogledajte njegov post

Selena Gomez ===> 140 milijuna sljedbenika ===> pogledajte njezin post

Ariana Grande ====> 125 milijuna sljedbenika ==> pogledajte njezin post

Beyoncé =====> 117 milijuna sljedbenika ====> pogledajte njezin post

Kim Kardashian ===> 115 milijuna sljedbenika ==> pogledajte njezin post

Lionel Messi:) ====> 97 milijuna sljedbenika ===> pogledajte njegov post

Popis je tako dugačak :), pa zamislite da je takva buba u lošim rukama, mogla bi dovesti do velikog medijskog hypea ciljajući na poznate osobe, primjerice, ili stvoriti velike probleme između divovskih kompanija poput Applea i njegovog konkurenta Samsung :) i tako dalje.

Prijavio sam ovu bugu izravno Facebookovom timu za sigurnost i oni su je riješili samo u roku jednog dana, popravljanje je bilo tako brzo zbog ozbiljnosti bugova, nagradili su me i nevjerojatnih 6500 $

Želio bih se zahvaliti Facebookovom timu za sigurnost na ovom sjajnom Bountyju.

Također želim zahvaliti mom prijatelju Kassem Bazzoun na ogromnoj podršci i pomoći mi u ovom bugu. Hvala milijun braće. :)

Vremenska crta: kolovoz. 06. 2018. - Početno izvješće kolovoz. 14, 2018. - Izvještaj kolovoza kolovoza. 15, 2018. - Ispravljen program za kolovoz. 15, 2018. - Fiks potvrđen listopad. 10, 2018–6500 $ Dodijeljena nagrada

PoC Video:

Takeways:

• Ne ovisi samo o odgovoru, ponekad vam daje grešku, ali umjesto toga vaš će bug raditi, saznao sam da sam, kad sam prije nekoliko mjeseci vidio video mog prijatelja Abdellaha Yaala, video njegov video u minutu 1:22, morate provjeriti što testirate iz web aplikacije. isto.
• Povremeno pokušajte provjeriti svoj cilj i provjerite postoji li nova opcija ili značajka (kada postoji nova značajka, pojavljuje se nova pogreška).
• Pokušajte zapamtiti svoje ciljne mogućnosti, brzo ćete prepoznati bilo koju novu opciju, baš kao što sam to i učinio :).

Hvala vam

Sarmad Hassan (JubaBaghdad)