Hello there, ('ω')ノ
Instagram ショップで Instagram ユーザー名を偽装することができた方法を。
脆弱性:
IDOR
記事:
概要:
Instagram ショップで任意の Instagram ユーザ名を偽装できることを発見し。
このバグを利用すると、詐欺師は人々を騙して認証済みアカウントなどで
購入したと思わせることができて。
説明:
Instagram のダイレクト メッセージに、ショップが顧客に請求書を
送信できる新機能を発見して。
左上隅の 2 番目の画像でわかるように、何も注文していない場合でも、
販売者のユーザ名と販売者のアバターがあり、
注文ステータスが「注文済み」になっていて。
問題は、HTTP リクエスト データに、前の図に示すように
販売者のユーザ名/アバターを決定する「merchant_id」パラメータがあることで。
「merchant_id」パラメータを見た後、もう一度試してHTTPリクエストを
インターセプトし、「merchant_id」パラメータを別のInstagramアカウントの
ユーザIDに切り替えるとうまくいって。
結論:
販売者 ID を Instagram ユーザの ID に置き換えると、注文が攻撃者の
アカウントからのものであっても、受信者は左上隅に偽装されたユーザ名が
表示された注文を受け取って。
※被害者は @attacker.1から注文確認を受け取り
注文を開くと、販売者の名前が @Instagram であり、
確認済みのバッジが付いていることがわかって。
そして、注文が認証されたアカウントからのものであることを確認すると、
被害者は詐欺を信じやすくなる可能性があって。
Best regards, (^^ゞ
