如何利用Instagram版权功能构造CSRF漏洞删除其他用户文件

如何利用Instagram版权功能构造CSRF漏洞删除其他用户文件，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

创新互联专注于企业营销型网站、网站重做改版、铁山网站定制设计、自适应品牌网站建设、H5网站设计、商城网站建设、集团公司官网建设、外贸网站制作、高端网站制作、响应式网页设计等建站业务，价格优惠性价比高，为铁山等各大城市提供网站开发制作服务。

最近，我注意到Instagram增加了大量的版权说明部分，其中声称，当用户上传到Instagram的媒体文件侵犯了其他地方的知识版权后，就会显示一个通知反映媒体文件的版权上诉信息，之后Instagram会自动删除该文件。

Instagram版权说明中有这样的描述：

收到权利所有人投诉 Instagram 上的内容侵犯其知识产权的举报后，我们可能需要立即从Instagram 删除相关内容，而不会事先联系您。
如果 Instagram 根据通过在线表单提交的知识产权举报删除您发布的内容，就会向您发送通知消息，并附上提交举报的权利所有人的姓名和电子邮箱或者举报详情。您如果认为相关内容不应该被删除，则可以直接联系提交举报的用户，尝试解决此问题。

根据以上说明，所以我决定对此功能进行一些测试。我就上传了一个包含某首音乐面临版权问题的视频文件，经测试发现，Instagram会使用一个GET请求来删除该文件。

其中的MEDIA_ID代表将要被删除的视频文件或发贴ID，后来我发现，只要获取对受害者所发贴或上传的相关文件ID号，然后把上述链接发送给受害者用户后，都会把对方发贴或相关文件删除掉，造成间接的CSRF场景，实现恶意破坏目的。该Bug在Instagram的手机APP或网页版中都能成功复现。

以下是在安卓版APP中的复现：

如何利用Instagram版权功能构造CSRF漏洞删除其他用户文件以下是在网页版中的复现：