利用Device ID實現對任意Instagram賬戶的再次劫持的示例分析

這篇文章給大家介紹利用Device ID實現對任意Instagram賬戶的再次劫持的示例分析，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

通過對設備號（Device ID）的利用，用同一用戶移動端設備發起暴力猜解，再次實現對任意Instagram賬戶的劫持，厲害了！由于該漏洞危害程度較上個漏洞相對較低。

漏洞原理

在上個漏洞中，可以看到，當用戶發起密碼重置（Password Reset）請求時，用戶端移動設備會向Instagram后端發起一個確認碼（Pass Code）請求，如下：

POST /api/v1/users/lookup/ HTTP/1.1User-Agent: Instagram 92.0.0.11.114 Android (27/8.1.0; 440dpi; 1080×2150; Xiaomi/xiaomi; Redmi Note 6 Pro; tulip; qcom; en_IN; 152830654)Accept-Language: en-IN, en-USContent-Type: application/x-www-form-urlencoded; charset=UTF-8Accept-Encoding: gzip, deflateHost: i.instagram.comConnection: keep-aliveq=mobile_number&device_id=android-device-id-here

仔細觀察上述這個請求，可以發現，其中的終端設備號device ID是Instagram服務器驗證終端用戶的唯一識別碼。當用戶用他自己的手機設備發起這個請求時，這個設備號device ID會包含其中。以上請求可以說明，設備號device ID其實是Instagram后臺用來驗證驗證用戶身份，進而分發確認碼的。

這里要說明的是，device ID是Instagram應用根據用戶情況隨機生成的一串字符串，那么，我的想法是：如果使用同一個用戶終端移動設備，來針對不同Instagram賬戶發起上述密碼重置請求，結果會怎樣？經我測試發現，相同移動端設備會產生同一個device ID，可以用它來針對多個Instagram用戶，發起上述請求，從而獲得與各個Instagram用戶對應的多個密碼重置確認碼。

漏洞利用

由于密碼重置確認碼有6位數，所以其范圍為 000001 到 999999，共一百萬種概率。所以，當我們用同一臺用戶端移動設備發起對多個賬戶的密碼重置確認碼請求時，理論上是提高了賬戶劫持的可能性。例如，如果使用同一臺用戶端移動設備去請求100,000個用戶的密碼重置確認碼，那么，這樣由于Instagram后端將會向這臺移動端設備返回確認碼，所以，這就有10%的成功率了。相應的，如果我們請求一百萬個用戶的密碼重置確認碼，那么，我們可以對確認碼每次增加一位，逐位進行破解。

因此，攻擊者針對一百萬用戶，用上述方式進行暴力請求，獲得密碼重置確認碼的成功率絕對是100%的。另外，我們還要注意，確認碼只在10分鐘之內有效，所以攻擊成功的窗口期只有10分鐘。結合上個漏洞分析文章中提到的基礎設施，引入該漏洞利用方法，一樣可以實現對任意Instagram用戶的劫持攻擊。

關于利用Device ID實現對任意Instagram賬戶的再次劫持的示例分析就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。