重置密码有风险,百万Instagram帐户遭破解
2019-08-29 18:58:11 Author: mp.weixin.qq.com(查看原文) 阅读量:95 收藏
忘记密码怎么办?当然是重置密码了,然而就是这样一个常见的操作,也存在安全风险。
近日,一名白帽黑客Laxman Muthiyah发现用户在重置Instagram帐户密码时,可能遭到黑客攻击。Facebook承认了此漏洞,并奖励该白帽子10000美元。
那这个漏洞究竟是怎么样的呢?我们来一起看看!
白帽黑客演示如何破解
白帽黑客发现,用户在发出密码重置请求时,Instagram会随机为每个设备生成编号。
设备编号Instagram应用程序生成的6位随机字符串,也是Ins服务器验证密码重置代码的唯一标识符。此ID还可用于检查代码的有效性
当用户使用移动设备请求密码时,设备ID将与请求一起发送。
Instagram允许使用相同的设备ID来请求多个用户帐户的代码,也就默认了攻击者可进行暴力攻击以获得设备ID。
对于6位密码(000001999999),有一百万种组合。
例如,使用相同的设备ID请求10万用户的密码,则可以获得10%的成功率,因为100k代码将发布到同一设备ID。如果为100万用户请求密码,则可以通过逐个递增密码来轻松破解所有100万帐户。
验证密码:
POST / api / v1 / accounts / account_recovery_code_verify / HTTP / 1.1
用户代理:Instagram 92.0.0.11.114 Android(27 / 8.1.0; 440dpi; 1080×2150;小米/小蜜; Redmi Note 6 Pro; 郁金香;QCOM; en_IN; 152830654
Accept-Language:en-IN,en-US
内容类型:application / x-www-form-urlencoded; 字符集= UTF-8
Accept-Encoding:gzip,deflate
主持人:i.instagram.com
连接:保持活力
reecover_code = 123456&DEVICE_ID =设备ID

一般用户都是为了规避风险而选择重置密码,而这一事件带来的警告则是众所周知的安全不一定是真的安全,风险无处不在,网上冲浪还需时刻小心。     

*本文由看雪编辑 LYA 编译自Security affairs,转载请注明来源及作者。

推荐文章++++

Unicorn 调用SO之加载模块

看雪.纽盾 2019 KCTF Q3--攻击篇,9月10日,大奖等你来拿!

* Unicorn 调试器模块编写

* 看雪课程 | Web安全基础教程,开课啦!

选择编程语言前需要知道的事



公众号ID:ikanxue
官方微博:看雪安全
商务合作:[email protected]
“阅读原文”一起来充电!d

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458298602&idx=3&sn=f1fa6bd4d5d360bb7218de635d958e9e&chksm=b181986086f61176395eb3d831de81740bbd9b8021570ea96fcba0fdfffa8f5cf36b4a214e2d#rd
如有侵权请联系:admin#unsafe.sh