本文讲述了巴西14岁少年Andres Alonso发现的,存在于Instagram Spark AR滤镜应用中的一个开放重定向漏洞(Open redirect),通过构造还可形成存储型XSS,最终收获了Facebook官方奖励的$25,000。
漏洞测试
Facebook在Instagram上内置了Spark AR应用,用户可以在Instagram相机中搜索AR滤镜,实现照片和视频的AR创作。作者在把玩Instagram的Spark AR滤镜应用时发现,Instagram采用了Facebook的滤镜功能,可以通过发送不同滤镜主题链接方式在Instagram中应用,因此,作者着重针对其中生成的滤镜链接(filter links )进行了分析: