描述:
通过 API 删除精选内容时缺少权限检查/async/wbloks/fetch/?appid=com.instagram.privacy.activity_center.highlight_delete&type=action&__bkv=c74d64ab71b2a21df8ce5c1e4147b1401fbc630d5829338fd53180777d4cfcda,导致如果封面是上传的图片(而不是故事),则其他用户的精选内容封面也会被删除。
https://www.instagram.com/your_activity/photos_and_videos/highlights
的网页界面来访问 API,方法是选择高光,然后点击删除。
要删除图像,攻击者必须能够查看高亮部分,因此目标要么是公共帐户,要么是私有帐户,而攻击者关注了目标。
我用来测试的封面图片都是通过 Instagram 移动应用程序上传的。
影响:
删除精选集封面图片。新的封面图片将默认为精选集中的第一篇文章。
重现步骤:用户 – 用户A、用户B
环境:用户 A 拥有 HighlightA 和 HighlightCoverA,用户 B 拥有 HighlightB,用户 B 可以查看 HighlightA。
- 用户B获取了HighlightA的ID
- 用户B通过先前指定的端点调用HighlightB的删除操作。
- 用户B修改了¶ms POST参数中的items_for_action,使其包含HighlightA的id。
- HighlightCoverA 被删除,HighlightA 的封面默认为第一篇故事。
以下是一个 POST 请求示例:
POST /async/wbloks/fetch/?appid=com.instagram.privacy.activity_center.highlight_delete&type=action&__bkv=c74d64ab71b2a21df8ce5c1e4147b1401fbc630d5829338fd53180777d4cfcda HTTP/2
Host: www.instagram.com
some_params=some_data¶ms={... ,"items_for_action":"<highlight id>","number_of_items":1}
视频概念验证:
时间线:
- 2023年10月6日 – 已报告漏洞
- 2023年11月6日 – 由 Meta 分类
- 2023年6月13日 – 漏洞已修复
- 2023年6月28日 – 赏金500美元
- 2023年7月28日 – Impact 的奖金被重新评估,并额外奖励了 2500 美元(+ 1.1 倍黄金联赛奖金倍数)
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容