新浪微博的重大安全漏洞,可能导致微博帐号被轻易盗用

标签: 快报 | 发表时间:2011-03-08 08:14 | 作者:NoTor chenqj
出处:http://www.36kr.com

@36氪 团队在使用新浪微博的iPhone版客户端的时候,无意中发现了一个重大安全漏洞,可能导致微博账户被盗用的严重问题。

用手机客户版浏览微博有一个额外的功能(如下图红框所示),可以把用邮件把一条微博分享给别人:

IMG_1676IMG_1674

选择“邮件分享给好友”之后会进入iPhone的邮件客户端,微博的内容会作为邮件的正文,所有相关的链接都会被保存。问题就出在带@的指向用户的链接上。比如下图所示邮件中@36氪的链接地址:http://t.sina.cn/n/36%E6%B0%AA?gsid=3_58ac12a3f465799befd32266405691ecafb8ada0

任何获取这条链接的用户,在点击之后都可以进入下面第二张图片所示的页面,大家可以尝试一下(桌面浏览器也可以,但因为是移动版地址,显示的将是移动版界面)。这个页面实际上已经跟用邮件转发微博的账户绑在了一起,也就是说如果继续点击“我的首页”,看到的是我们为了测试这个缺陷申请的微博账户@微博捉虫手登陆后的主界面。之后用户可以做除了修改密码之外的任何事情:发布新的微博,修改用户名,修改其他用户设置和信息等。某种程度上这相当于微博账户被盗。

Update1:因为@36氪的微博账户被封号,以上链接无法继续访问,大家可以尝试李开复老师的微博链接:http://t.sina.cn/n/%E6%9D%8E%E5%BC%80%E5%A4%8D?gsid=3_58ac12a3f465799befd32266405691ecafb8ada0

Update2:目前@36氪的微博账户已经解封,但是用来测试的@微博捉虫手账户又被封禁,所以以上的链接都不可用了。但是该漏洞一直存在,有兴趣的话可以用手机客户端转发带@的微博到自己的邮箱验证一下,@36氪提醒您请注意安全。

IMG_1675IMG_1677IMG_1679

 

很明显t.sina.cn是新浪用于移动网页版和移动客户端版微博的子域名,有别于桌面版的t.sina.com.cn。以上的演示说明移动版微博在链接提供gsid的情况下,并不使用cookie对用户进行身份确认(虽然cookie的安全性也很低,在无加密的Wifi环境里任何人用Firefox的Firesheep插件都可以轻松获取其他人不加密连接的cookie)。打个比方说,如果李开复老师用手机客户端的邮件分享功能发送一则微博给我,那么我就能获取他的gsid,并利用这个安全漏洞向400多万开老师的粉丝发布任何我想发布的内容,这是很可怕的一件事情。

在这里,@36氪提醒新浪微博用户,在这个安全漏洞被修复之前,请不要再使用手机客户端的“邮件分享”功能。

 

转载请注明: “转载自@36氪”,谢谢:)

Top

我要分享到: 新浪微博 人人 九点 抽屉 鲜果 百度搜藏 腾讯微博 网易微博 搜狐微博 QQ空间 Follow5 Twitter Facebook Google阅读器 Buzz

相关 [新浪微博 安全漏洞 微博] 推荐:

新浪微博的重大安全漏洞,可能导致微博帐号被轻易盗用

- chenqj - 36氪
@36氪 团队在使用新浪微博的iPhone版客户端的时候,无意中发现了一个重大安全漏洞,可能导致微博账户被盗用的严重问题. 用手机客户版浏览微博有一个额外的功能(如下图红框所示),可以把用邮件把一条微博分享给别人:. 选择“邮件分享给好友”之后会进入iPhone的邮件客户端,微博的内容会作为邮件的正文,所有相关的链接都会被保存.

围攻新浪微博

- Jos - 望月的博客
在国内的门户微博中,新浪微博无疑是目前用户数量最多、媒体属性最强的,但是,最近,却连续看到一些互联网的知名人士高调宣布退出或者关闭新浪微博的博文,使用和不使用某个产品本就是个人的自由,但如此高调的宣布,并进行口诛笔伐,就值得关注了. 本文试图通过分析谷奥事件,宋石男和贾葭两位老师离开新浪微博的事件分析新浪微博的是与非.

新浪微博连接 2.3

- leeking001 - 我爱水煮鱼
新浪微博连接是我使用新浪微博 API 接口开发的一个 WordPress 插件,它的主要功能是能让用户使用新浪微博账号登陆 WordPress 博客,并且可以直接使用新浪微博的头像,同步博客日志到 WordPress 博客. 经过几天的测试,新浪微博连接插件升级到 2.3,主要修正:同步博客到新浪微博的问题,并且同步内容更为丰富,规则改为:【日志标题】+ 日志内容摘要 + 日志链接.

新浪微博n大傻

- suki - broom's blog
看不到follow的人之间的交互这类产品本身的问题就不提了,就说说用户行为的傻. 其中有些行为也是产品本身纵容的. 三天两头换id的,搞个巨长的id既占字数又让别人压根没法手动@的,带个公司前缀的,用流行语的. 完全没有网络时代id就是个人身份的概念,意识还停留在QQ时代,以为随便改昵称呢. 某些专门发垃圾小段子的帐号尤甚.

V5后的新浪微博

- - It Talks--上海魏武挥的博客
正是在这个内外交困的时刻,新浪微博展开了它的商业化之旅,前途如何,尚未可知. 近日新浪微博发布了它的第五个版本,称为“V5”,在这个版本中,一个很明显的变化是:它长的有点像Facebook,用户不仅可以设置较大的头像,也可以在顶部自定义一张大图. V5版本的一些细节做得很用心,无论是提示语,还是版式的细微之处.

新浪微博不是Twitter

- 马克叔叔 - 月光博客
  Twitter是互联网短信,新浪微博以微博客Twitter式弱关系切入,正在转型SNS. 转型的挑战在于:1.如何融合弱关系和强关系. 2.如何用弱关系倒逼中国社会的强关系和潜关系.   国内有一些Twitter的拥趸,认为微博抄Twitter都抄不到点子上.   “Twitter 是四两拨千斤的艺术.

小心授权你的新浪微博

- Ehaagwlke - 心弦 | blog
新浪微博上的“随手拍解救大龄女青年”出来有一段时间了,粉丝为数众多,也有了一定的社会影响力. 开始的时候我觉得这是挺好的一件事儿. 这个微博的主人不仅在微博上热心公益事业,还特意做了一个网站,把所有想要被“解救”的姑娘的信息汇总,让大家可以按照各种条件查找,然后查看她们的详细资料. 可是后来我无意中发现一个问题:这个网站在竭尽全力地获得其访问者的新浪微博账户的授权.

PADMAG@新浪微博 近期精选(070311)

- 璎珞天色 - PADMAG视觉杂志
【摄影】70个闪电出现在同一张照片,拍摄于希腊Ikaria岛,来自摄影师Chris Kotsiopoulos,官方网站:http://t.cn/aNItNg. PADMAG的新浪微博:http://weibo.com/padmag,点击阅读全文可见更多内容. 【产品设计】iDroplets是一款用于iPad的透明脚贴,保护iPad与桌面接触时不至于划伤,一组售价5美元,全球包邮,官网:http://t.cn/hBCZjU ,看起来会像一颗水珠.

新浪微博屏蔽“长江”

- David - Solidot
新浪微博迎来了荒诞的一天:《华尔街日报》发现无法在上面搜索长江或扬子江. 新浪微博会返回“根据相关法律法规和政策,搜索结果未予显示”. 凡是与“江”有关的关键词都被屏蔽,如江西,江东,江北,浙江. 除此之外新浪还屏蔽了大量的其它关键词.

新浪微博的XSS攻击

- 铭文 - 酷壳 - CoolShell.cn
今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件. 大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等微博和私信,并自动关注一位名为hellosamy的用户.