如何破解Instagram帐户?
很难找到这个问题的答案,但一个bug赏金猎人只是做到了没有太多的困难。比利时的bug赏金猎人Arne在图片共享社交网络Instagram发现了两个漏洞,允许他以最小的努力强力破解Instagram账户密码和接管用户帐户。
蛮力攻击问题都是由于Instagram的可利用的弱密码策略使用增量用户id及其实践。
“这可能允许攻击者妥协很多没有任何交互的账户,“她在一篇博客文章中写道描述细节的漏洞。
蛮力攻击使用手机登录API
Bug猎人找到了破解任何Instagram帐户的方式
他发现攻击者可以通过蛮力攻击来破解Android Instagram账户验证API URL。
根据他的博客,第一个错误的蛮力尝试在移动登录API,Instagram回答“您输入的密码是不正确,”但他也注意到下次服务器会显示,“用户名未找到”——某种速度限制服务器导致错误响应。然而,他继续耐心的蛮力攻击,发现服务器重新启动后显示可靠响应,紧随其后的是一个不可靠的反应(即用户名未找到)。
所以,攻击者可以创建一个脚本,该脚本只安装一个可靠的蛮力攻击和回放不准确的反应,直到找到一个可靠的。他开发的脚本测试对目标Instagram帐户密码。“这种攻击的唯一限制是平均2次身份验证请求必须尝试一个可靠的密码,“同化说。
最糟糕的部分有:
研究者能够登录到帐户妥协来自同一个IP地址,用于进行强力攻击密码,这是最糟糕的安全实践来保护对未经授权的登录帐户。
第一个漏洞被发现,据报道,第一个蛮力攻击使用基于web的登记制度,第二个蛮力攻击漏洞,影响了Instagram的网络注册页面。漏洞可能允许攻击者执行另一个微不足道的蛮力攻击Instagram Web注册端点,甚至没有触发一个帐户锁定或其他安全措施。
他注册一个测试账户Instagram期间发送的HTTP请求并记录登记。
然而,在重演同一请求删除的用户名和密码参数,他收到一个错误回应说“那些凭证属于积极Instagram账户。”由于没有速度限制激活注册页面,他用蛮力超过10000尝试发送正确的用户名和密码和接收积极响应的页面。
Facebook获得研究员结合赏金5000美元和修补Instagram的漏洞通过限制登录尝试的数量以及其硬化密码策略。现在,Instagram不再允许用户选择设置简单的密码。现在密码组合需要组合数字,字母和标点符号。该公司还建议Instagram密码不能使用网上其他地方。
Instagram用户必须阅读:如何添加两步验证防止Instagram账号被黑。应采用类似的步骤,每一个在线网站和服务,要负责用户的安全。
不要期待用户保持每个在线密码强大和复杂,它是网站和开发人员的责任,强大的密码策略不允许用户注册使用弱密码,以及建议用户采用密码管理器。