instagram密码组成（instagram密码设置）

忘记密码怎么办？当然是重置密码了，然而就是这样一个常见的操作，也存在安全风险。

近日，一名白帽黑客Laxman Muthiyah发现用户在重置Instagram帐户密码时，可能遭到黑客攻击。Facebook承认了此漏洞，并奖励该白帽子10000美元。

那这个漏洞究竟是怎么样的呢？我们来一起看看！

白帽黑客演示如何破解

白帽黑客发现，用户在发出密码重置请求时，Instagram会随机为每个设备生成编号。

设备编号是Instagram应用程序生成的6位随机字符串，也是Ins服务器验证密码重置代码的唯一标识符。此ID还可用于检查代码的有效性。

当用户使用移动设备请求密码时，设备ID将与请求一起发送。

Instagram允许使用相同的设备ID来请求多个用户帐户的代码，也就默认了攻击者可进行暴力攻击以获得设备ID。

对于6位密码，有一百万种组合。

例如，使用相同的设备ID请求10万用户的密码，则可以获得10％的成功率，因为100k代码将发布到同一设备ID。如果为100万用户请求密码，则可以通过逐个递增密码来轻松破解所有100万帐户。

验证密码：

POST / api / v1 / accounts / account_recovery_code_verify / HTTP / 1.1用户代理：Instagram 92.0.0.22.224 AndroidAccept-Language：en-IN，en-US内容类型：application / x-www-form-urlencoded; 字符集= UTF-8Accept-Encoding：gzip，deflate主持人：i.instagram.com连接：保持活力reecover_code = 123456＆DEVICE_ID =设备ID

一般用户都是为了规避风险而选择重置密码，而这一事件带来的警告则是众所周知的安全不一定是真的安全，风险无处不在，网上冲浪还需时刻小心。

*本文由看雪编辑 LYA 编译自Security affairs，转载请注明来源及作者。

海外精品引流脚本–最强海外引流  

官网：www.facebook18.com

唯一TG：https://t.me/Facebook181818