概括我发现 instagram 中缺乏速率限制问题,这可能允许攻击者通过使用 Mate 帐户中心确认目标用户已经确认的 facebook 手机号码来绕过 facebook 上的双因素身份验证。大家好,我是 Gtm Mänôz 。这是我第一次写漏洞赏金报告,也是我在 facebook 的最高赏金奖励。早在 2022 年 7 月中旬,由于我在 2022 年初的 Meta Bug Bounty 计划中的出色表现,我收到了参加新加坡 BountyCon 2022 的邀请。收到邀请后,我唯一的想法就是至少找到一个有效的漏洞,并登上现场黑客活动的排行榜。因此,当我在 instagram 中发现 Meta Accounts Center 的新界面时,一切就开始了。新的 Instagram 帐户中心在上图中,个人详细信息部分有一个选项,可以将电子邮件和电话号码添加到 Instagram 和链接的 Facebook 帐户,可以在输入电子邮件/电话中收到的正确 6 位代码后进行验证。在报告时,验证 6 位代码
文章无法展示全部,请购买VIP后
使用网页访问内容 或者 使用第三方RSS订阅工具访问内容