挖洞经验 | 价值$6500美金的Instagram发贴文字说明添加漏洞
字数 1399 2025-08-18 11:37:45

Instagram发贴文字说明添加漏洞分析报告

漏洞概述

漏洞类型:权限绕过/未授权操作
影响范围:Instagram平台所有公开用户的无说明发贴
漏洞危害:允许攻击者在其他用户的发贴中未经授权添加文字说明
漏洞奖励:$6500美金
发现时间:2018年8月
发现者:Sarmad Hassan

漏洞背景

Instagram作为Facebook旗下的图片视频分享应用,提供了IGTV(Instagram TV)功能,允许用户上传和观看竖屏长格式视频。在编辑IGTV视频时,系统通过media ID标识每个发贴,并允许用户修改caption(说明)和title(标题)参数。

漏洞发现过程

初始发现

  1. 研究者尝试在Facebook网页中绕过Instagram的双因素认证(2FA)机制
  2. 通过浏览器已保存的密码直接登录Instagram测试账户
  3. 重点研究了IGTV功能的实现机制

技术分析

  1. 创建IGTV视频后,使用BurpSuite拦截编辑请求:

    POST /media/1887820989027383407/edit/
caption=test&publish_mode=igtv&title=test

  2. 关键参数解析:

    • media id:唯一标识每个发贴(图片/视频/IGTV视频)
    • caption:发贴的文字说明
    • title:发贴的标题

  3. media id获取方式:

    • 从其他用户发贴的源代码中提取
    • 通过BurpSuite拦截"点赞"(Like)操作获取

漏洞利用方法

利用条件

  1. 目标账户必须为公开账户
  2. 目标发贴必须没有文字说明(caption为空)

利用步骤

  1. 获取目标发贴的media id
  2. 构造恶意POST请求: 
    POST /media/[目标media id]/edit/
caption=[恶意文字]&publish_mode=igtv&title=[任意标题]
  3. 虽然服务器可能返回"Oops an error occurred"错误,但操作实际已生效

漏洞危害评估

直接影响

  1. 可对任何公开用户的无说明发贴添加任意文字
  2. 影响所有类型的发贴(图片/视频/IGTV视频)

潜在风险

  1. 舆论操控:可针对名人账户(如1.4亿粉丝的赛琳娜·戈麦斯)添加虚假说明
  2. 商业诋毁:可对公司官方账户添加负面信息
  3. 社会工程:可添加钓鱼链接或误导性信息

漏洞修复建议

防御措施

  1. 服务器端验证:

    • 检查当前用户是否有权限修改指定media id的发贴
    • 实现严格的权限控制系统

  2. 输入验证:

    • 验证caption修改请求是否来自发贴所有者
    • 对media id进行有效性检查

  3. 日志监控:

    • 记录所有caption修改操作
    • 设置异常操作警报机制

漏洞上报时间线

日期 事件
2018.8.6 漏洞初报
2018.8.14 漏洞分类
2018.8.15 漏洞修复
2018.8.15 修复确认
2018.10.10 $6500奖金发放

经验总结

  1. 功能交叉测试:在不同平台(如Facebook网页)测试关联功能可能发现漏洞
  2. 参数篡改测试:修改请求中的关键参数(如media id)是发现权限问题的有效方法
  3. 错误信息分析:即使返回错误信息,也应验证操作是否实际生效
  4. 业务影响评估:评估漏洞对平台核心业务的影响能提高漏洞评级

附录

建议的安全测试工具:

  • BurpSuite:用于拦截和修改HTTP请求
  • 浏览器开发者工具:用于分析页面元素和网络请求
Instagram发贴文字说明添加漏洞分析报告 漏洞概述 漏洞类型 :权限绕过/未授权操作 影响范围 :Instagram平台所有公开用户的无说明发贴 漏洞危害 :允许攻击者在其他用户的发贴中未经授权添加文字说明 漏洞奖励 :$6500美金 发现时间 :2018年8月 发现者 :Sarmad Hassan 漏洞背景 Instagram作为Facebook旗下的图片视频分享应用,提供了IGTV(Instagram TV)功能,允许用户上传和观看竖屏长格式视频。在编辑IGTV视频时,系统通过media ID标识每个发贴,并允许用户修改caption(说明)和title(标题)参数。 漏洞发现过程 初始发现 研究者尝试在Facebook网页中绕过Instagram的双因素认证(2FA)机制 通过浏览器已保存的密码直接登录Instagram测试账户 重点研究了IGTV功能的实现机制 技术分析 创建IGTV视频后,使用BurpSuite拦截编辑请求: 关键参数解析: media id :唯一标识每个发贴(图片/视频/IGTV视频) caption :发贴的文字说明 title :发贴的标题 media id获取方式: 从其他用户发贴的源代码中提取 通过BurpSuite拦截"点赞"(Like)操作获取 漏洞利用方法 利用条件 目标账户必须为公开账户 目标发贴必须没有文字说明(caption为空) 利用步骤 获取目标发贴的media id 构造恶意POST请求: 虽然服务器可能返回"Oops an error occurred"错误,但操作实际已生效 漏洞危害评估 直接影响 可对任何公开用户的无说明发贴添加任意文字 影响所有类型的发贴(图片/视频/IGTV视频) 潜在风险 舆论操控:可针对名人账户(如1.4亿粉丝的赛琳娜·戈麦斯)添加虚假说明 商业诋毁:可对公司官方账户添加负面信息 社会工程:可添加钓鱼链接或误导性信息 漏洞修复建议 防御措施 服务器端验证: 检查当前用户是否有权限修改指定media id的发贴 实现严格的权限控制系统 输入验证: 验证caption修改请求是否来自发贴所有者 对media id进行有效性检查 日志监控: 记录所有caption修改操作 设置异常操作警报机制 漏洞上报时间线 | 日期 | 事件 | |------------|--------------------| | 2018.8.6 | 漏洞初报 | | 2018.8.14 | 漏洞分类 | | 2018.8.15 | 漏洞修复 | | 2018.8.15 | 修复确认 | | 2018.10.10 | $6500奖金发放 | 经验总结 功能交叉测试 :在不同平台(如Facebook网页)测试关联功能可能发现漏洞 参数篡改测试 :修改请求中的关键参数(如media id)是发现权限问题的有效方法 错误信息分析 :即使返回错误信息,也应验证操作是否实际生效 业务影响评估 :评估漏洞对平台核心业务的影响能提高漏洞评级 附录 建议的安全测试工具: BurpSuite:用于拦截和修改HTTP请求 浏览器开发者工具:用于分析页面元素和网络请求