freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

挖洞经验 | 一个非常简单的Instagram逻辑漏洞($XXXX)
2019-12-24 13:00:01

本文分享的是作者通过普通浏览就发现的Instagram的一个逻辑漏洞,漏洞非常非常非常简单,最终该漏洞获得了Facebook官方$XXXX的奖励和榜单致谢,作者也收获了漏洞测试的一些新思路和新视角,我们一起来看看。

我平时不怎么用Instagram,但是,有天晚上我突然需要确认一下我的Instagram账户,于是我进行了登录,由于好长时间不用,我想把密码更改成一个容易记住的,所以我去到了设置项中更改了密码。

但当更改完密码之后,我在设置栏中发现了一个新功能-“Authorized App”,经过了解可知这是一个授权第三方APP应用访问我Instagram数据的功能,其中存在两个按钮“Active“和”Expired”,当我点击“Active“之后,我看到了一个经授权激活的第三方APP-“TikTok”(抖音)。

可是,我从来没有TikTok账户,也从来没在Instagram中授权过TikTok啊!之后,我只有通过其中的可选按钮“Remove”进行了删除,但是,点击“Remove”之后,在页面左下角又跳出了一个告警消息“there was a problem revoking access”(撤销出错)。

我想,这可能属于逻辑漏洞范畴,所以我选择上报给了Facebook,之后,Facebook收下了该漏洞并给予了我$XXXX的奖励以及榜单致谢。

*参考来源:medium,clouds 编译整理,转载请注明来自 FreeBuf.COM

# Instagram # 挖洞经验
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者