溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
如何利用Instagram版權功能構造CSRF漏洞刪除其他用戶文件,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。
最近,我注意到Instagram增加了大量的版權說明部分,其中聲稱,當用戶上傳到Instagram的媒體文件侵犯了其他地方的知識版權后,就會顯示一個通知反映媒體文件的版權上訴信息,之后Instagram會自動刪除該文件。
Instagram版權說明中有這樣的描述:
收到權利所有人投訴 Instagram 上的內容侵犯其知識產權的舉報后,我們可能需要立即從Instagram 刪除相關內容,而不會事先聯系您。
如果 Instagram 根據通過在線表單提交的知識產權舉報刪除您發布的內容,就會向您發送通知消息,并附上提交舉報的權利所有人的姓名和電子郵箱或者舉報詳情。您如果認為相關內容不應該被刪除,則可以直接聯系提交舉報的用戶,嘗試解決此問題。
根據以上說明,所以我決定對此功能進行一些測試。我就上傳了一個包含某首音樂面臨版權問題的視頻文件,經測試發現,Instagram會使用一個GET請求來刪除該文件。
其中的MEDIA_ID代表將要被刪除的視頻文件或發貼ID,后來我發現,只要獲取對受害者所發貼或上傳的相關文件ID號,然后把上述鏈接發送給受害者用戶后,都會把對方發貼或相關文件刪除掉,造成間接的CSRF場景,實現惡意破壞目的。該Bug在Instagram的手機APP或網頁版中都能成功復現。
以下是在安卓版APP中的復現:
以下是在網頁版中的復現:
2019.1.29 漏洞初報
2019.1.29 漏洞分類
2019.1.30 漏洞修復
2019.2.14 Facebook獎勵了$3,000
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
