2023-09-19

删除任何twitter用户的列表封面照片

#Twitter #idor

Summary

twitter上的编辑列表功能不正确的santization导致删除任何twitter用户的列表封面照片。从这个bug攻击者可以删除任何twitter用户列表的封面照片. 1

Steps

  1. 通过访问受害者简介上的名单,可方便地获得受害者的媒体ID(用于名单的封面照片)。

  2. 现在从攻击者帐户创建一个列表并更改封面照片,拦截请求并将媒体ID更改为受害者封面照片ID。

  3. 从攻击者帐户中删除名单封面照片后,它将自动删除受害者名单封面照片。

Impact

Security Impact : attacker can delete any twitter users list's cover photo.

Supporting Material/References

POC Attached Below

  • List any additional material (e.g. screenshots, logs, etc.)

Twitter订阅信息披露

#Twitter #idor

Summary

Steps

  1. Go to 推特

  2. Ensure that you are not a subscriber therefore cannot see the tweet

  3. Click on quotes button and see the tweet and images

Impact

test

Previous2023-09-18Next富文本编辑器漏洞

Last updated