一位安全研究人員發(fā)現(xiàn)了Instagram帳戶恢復(fù)過程中的一個(gè)漏洞,該漏洞本可以用于入侵人們的帳戶。
研究人員Laxman Muthiyah在調(diào)查社交媒體應(yīng)用程序如何在您忘記密碼的情況下讓您重新獲得對(duì)帳戶的訪問權(quán)限時(shí)發(fā)現(xiàn)了該錯(cuò)誤。為了證明您的身份,Instagram可以通過短信將六位數(shù)的隨機(jī)代碼發(fā)送到您的智能手機(jī)。然后,系統(tǒng)會(huì)要求您將數(shù)字輸入到應(yīng)用程序中。
Muthiyah想知道是否有人可以通過輸入大量組合來嘗試和猜測(cè)正確的代碼來“蠻力”執(zhí)行該過程。事實(shí)證明,您可以在某些條件下。
Instagram在將代碼輸入到帳戶恢復(fù)過程中有一些限制。它們包括將每個(gè)IP地址的猜測(cè)次數(shù)限制在250個(gè)以內(nèi)。猜測(cè)也必須在10分鐘內(nèi)完成。
找出一個(gè)六位數(shù)的代碼意味著要嘗試一百萬種不同的組合。對(duì)于任何人來說,這太多了。但是,Muthiyah發(fā)現(xiàn)他可以通過其API自動(dòng)對(duì)Instagram進(jìn)行暴力攻擊。為此,他編寫了一個(gè)編程腳本來同時(shí)輸入旋轉(zhuǎn)IP地址列表中的大量猜測(cè)。