[Из песочницы] XSS на сайтах, использующих Instagram API

Разрабатывая приложение, использующее Instagram API, я заметил, что мне приходят не преобразованные теги. Безусловно, такая проблема решается за пару строчек кода. Но я подумал, а что если не все разработчики преобразовывают теги в сущности перед выводом на страницу, полностью доверяя API. Кто будет ожидать, что в описании страницы Instagram будет JS скрипт вместо текста?

Я нашел такие сайты.



Для начала добавил в описание профиля подключение удаленного скрипта js, а в описание некоторых фотографии строку

и несколько хештегов, среди которых #instagramapi.

Первый сайт, который я нашел — это Iconosquare.

IconoSquare — полезное приложение для анализа и управления вашим аккаунтом в Инстаграм. Удобный веб-интерфейс сэкономит время и поможет в общении с подписчиками. Через IconoSquare можно просматривать профили или искать по хэштегу

На этом сайте в решил искать свою фотографию по хештегу #instagramapi, в моем случае это была фотография с котом.

При нажатии на фотографию меня перекидывало на страницу, где содержится описание фотографии, но Iconosquare забыли преобразовать html-теги в сущности. Это дало возможность выполнения XSS.

Посмотреть изображение

Открыв исходники страницы, сразу стало понятно, что они забыли преобразовать теги в мета описании страницы.

Посмотреть изображение

На странице пользователя они не преобразовывали имя и описание профиля Instagram — и вот результат.

Посмотреть изображение

Следующий сайт, который я нашел — это facegram.io.

Как я понял, facegram.io — это еще один Instagram Web Viewer. У сервиса около 50 000 подписчиков на Facebook, так что, думаю, его можно считать популярным.

Тут мы тоже ищем по хештегу #instagramapi и вот результат:

Посмотреть изображение

Аналогично на странице пользователя.

На самом деле я нашел 27 сайтов, где можно провести XSS-атаку. Думаю, что не обязательно расписывать их всех, вот ссылки на страницы с XSS.

Список всех сайтов

Я пытался написать в Iconosquare и в поддержку нескольких других сайтов, но они никак не отреагировали. Может быть, кто-нибудь из вас сможет сообщить разработчикам этих сайтов об уязвимости.

P.S. Эта статья написана, чтобы сообщить разработчикам о том, что не стоить доверять полученным от Instagram API данным.

P.P.S. Аналогичная ситуация и с приложениями, использующими Facebook API. Вот пример.

Recommended article: Chomsky: We Are All – Fill in the Blank.

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.