挖洞经验 | 一个非常简单的Instagram逻辑漏洞($XXXX)

2019-12-24 114299人围观 ,发现 23 个不明物体 WEB安全漏洞

本文分享的是作者通过普通浏览就发现的Instagram的一个逻辑漏洞,漏洞非常非常非常简单,最终该漏洞获得了Facebook官方$XXXX的奖励和榜单致谢,作者也收获了漏洞测试的一些新思路和新视角,我们一起来看看。

我平时不怎么用Instagram,但是,有天晚上我突然需要确认一下我的Instagram账户,于是我进行了登录,由于好长时间不用,我想把密码更改成一个容易记住的,所以我去到了设置项中更改了密码。

但当更改完密码之后,我在设置栏中发现了一个新功能-“Authorized App”,经过了解可知这是一个授权第三方APP应用访问我Instagram数据的功能,其中存在两个按钮“Active“和”Expired”,当我点击“Active“之后,我看到了一个经授权激活的第三方APP-“TikTok”(抖音)。

可是,我从来没有TikTok账户,也从来没在Instagram中授权过TikTok啊!之后,我只有通过其中的可选按钮“Remove”进行了删除,但是,点击“Remove”之后,在页面左下角又跳出了一个告警消息“there was a problem revoking access”(撤销出错)。

我想,这可能属于逻辑漏洞范畴,所以我选择上报给了Facebook,之后,Facebook收下了该漏洞并给予了我$XXXX的奖励以及榜单致谢。

*参考来源:medium,clouds 编译整理,转载请注明来自 FreeBuf.COM

相关推荐

这些评论亮了

发表评论

已有 24 条评论

取消
Loading...
clouds

I am a robot , don't talk to me , code to me.

447 文章数 38 评论数 110 关注者

文章目录

    特别推荐

    推荐关注

    官方公众号

    聚焦企业安全

    填写个人信息

    姓名
    电话
    邮箱
    公司
    行业
    职位
    css.php