利用Device ID實(shí)現(xiàn)對(duì)任意Instagram賬戶的再次劫持的示例分析

這篇文章給大家介紹利用Device ID實(shí)現(xiàn)對(duì)任意Instagram賬戶的再次劫持的示例分析，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對(duì)大家能有所幫助。

通過對(duì)設(shè)備號(hào)（Device ID）的利用，用同一用戶移動(dòng)端設(shè)備發(fā)起暴力猜解，再次實(shí)現(xiàn)對(duì)任意Instagram賬戶的劫持，厲害了！由于該漏洞危害程度較上個(gè)漏洞相對(duì)較低。

漏洞原理

在上個(gè)漏洞中，可以看到，當(dāng)用戶發(fā)起密碼重置（Password Reset）請(qǐng)求時(shí)，用戶端移動(dòng)設(shè)備會(huì)向Instagram后端發(fā)起一個(gè)確認(rèn)碼（Pass Code）請(qǐng)求，如下：

POST /api/v1/users/lookup/ HTTP/1.1User-Agent: Instagram 92.0.0.11.114 Android (27/8.1.0; 440dpi; 1080×2150; Xiaomi/xiaomi; Redmi Note 6 Pro; tulip; qcom; en_IN; 152830654)Accept-Language: en-IN, en-USContent-Type: application/x-www-form-urlencoded; charset=UTF-8Accept-Encoding: gzip, deflateHost: i.instagram.comConnection: keep-aliveq=mobile_number&device_id=android-device-id-here

仔細(xì)觀察上述這個(gè)請(qǐng)求，可以發(fā)現(xiàn)，其中的終端設(shè)備號(hào)device ID是Instagram服務(wù)器驗(yàn)證終端用戶的唯一識(shí)別碼。當(dāng)用戶用他自己的手機(jī)設(shè)備發(fā)起這個(gè)請(qǐng)求時(shí)，這個(gè)設(shè)備號(hào)device ID會(huì)包含其中。以上請(qǐng)求可以說明，設(shè)備號(hào)device ID其實(shí)是Instagram后臺(tái)用來驗(yàn)證驗(yàn)證用戶身份，進(jìn)而分發(fā)確認(rèn)碼的。

這里要說明的是，device ID是Instagram應(yīng)用根據(jù)用戶情況隨機(jī)生成的一串字符串，那么，我的想法是：如果使用同一個(gè)用戶終端移動(dòng)設(shè)備，來針對(duì)不同Instagram賬戶發(fā)起上述密碼重置請(qǐng)求，結(jié)果會(huì)怎樣？經(jīng)我測(cè)試發(fā)現(xiàn)，相同移動(dòng)端設(shè)備會(huì)產(chǎn)生同一個(gè)device ID，可以用它來針對(duì)多個(gè)Instagram用戶，發(fā)起上述請(qǐng)求，從而獲得與各個(gè)Instagram用戶對(duì)應(yīng)的多個(gè)密碼重置確認(rèn)碼。

漏洞利用

由于密碼重置確認(rèn)碼有6位數(shù)，所以其范圍為 000001 到 999999，共一百萬種概率。所以，當(dāng)我們用同一臺(tái)用戶端移動(dòng)設(shè)備發(fā)起對(duì)多個(gè)賬戶的密碼重置確認(rèn)碼請(qǐng)求時(shí)，理論上是提高了賬戶劫持的可能性。例如，如果使用同一臺(tái)用戶端移動(dòng)設(shè)備去請(qǐng)求100,000個(gè)用戶的密碼重置確認(rèn)碼，那么，這樣由于Instagram后端將會(huì)向這臺(tái)移動(dòng)端設(shè)備返回確認(rèn)碼，所以，這就有10%的成功率了。相應(yīng)的，如果我們請(qǐng)求一百萬個(gè)用戶的密碼重置確認(rèn)碼，那么，我們可以對(duì)確認(rèn)碼每次增加一位，逐位進(jìn)行破解。

因此，攻擊者針對(duì)一百萬用戶，用上述方式進(jìn)行暴力請(qǐng)求，獲得密碼重置確認(rèn)碼的成功率絕對(duì)是100%的。另外，我們還要注意，確認(rèn)碼只在10分鐘之內(nèi)有效，所以攻擊成功的窗口期只有10分鐘。結(jié)合上個(gè)漏洞分析文章中提到的基礎(chǔ)設(shè)施，引入該漏洞利用方法，一樣可以實(shí)現(xiàn)對(duì)任意Instagram用戶的劫持攻擊。

關(guān)于利用Device ID實(shí)現(xiàn)對(duì)任意Instagram賬戶的再次劫持的示例分析就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。