今天惯例邮箱收到了Twitter的邮件提醒有新的post,这种邮件每天都能收到几封,正好看到一个Bug Bounty的write up,比较感兴趣,看起来也在我的理解范围之内,这里对这篇write up和另一篇一起做一个总结,希望能对自己对于web security的学习和bug bounty的路程有所帮助。
write-up 地址Add description to Instagram Posts on behalf of other users - 6500$
Making an XSS triggered by CSP bypass on Twitter
Instagram的漏洞一开始作者Sarmad Hassan (Juba Baghdad)本来想在facebook的页面绕开instagram的验证策略,但是在之后浏览Instgram的官网过程中,发现了Instgram显示的一个新功能IGTV,您可以通过这个功能发布一个竖屏视频,也可以浏览其他人发布的IGTV视频。
在测试这个新功能时,作者发现视频发布后,点击编辑选项并通过butpsuite拦截发出的请求
POST /media/1887820989027383407/edit/ caption=test&publish_mode=igtv&title=test