新浪微博用户密码泄露漏洞

Hyperion

2012-01-04 23:32:20 +08:00

存密文对得起用户, 存明文对得起[哔]. /摊手

haohaolee

2012-01-04 23:37:20 +08:00

呵呵，上次谁还出来背书说新浪不是明文。看来对付这些国内的站就要和对付蒙牛一样

vincent1q84

2012-01-04 23:42:31 +08:00

该死的新浪还不能注销…又不想通过发敏感词的方式“被注销”…

xdata

2012-01-04 23:50:11 +08:00

502..

Google搜下还是能找到其他地方缓存的页面...

VYSE

2012-01-05 00:00:10 +08:00

已经恢复了，数据库叫whatis，不知道怎么暴出来的

Mutoo

2012-01-05 00:02:03 +08:00

@VYSE sql注入啊，构造个联合查询就出来了……

flyingnn

2012-01-05 00:04:25 +08:00

大公司都这么不可信，没信用没良心．

underone

2012-01-05 00:06:45 +08:00

新浪微博也是明文？嚓。。。

VYSE

2012-01-05 00:15:04 +08:00

@Mutoo 要查询系统表才能列数据库吧，但这个权限不应该有的啊

Mutoo

2012-01-05 00:28:12 +08:00

@VYSE 用户提交的数据没有经过过滤就直接放入sql字段进行SQL查询，系统会毫无保留地返回结果的。你可以google一下SQL注入，很容易上手的，我初二的时候就会这招了……一般只有小网站才会出这种错，没想到新浪也……

frittle

2012-01-05 00:28:31 +08:00

真烦，国内到底有有没有大网站不是明文密码的=_=|| qq的密码和新浪微博一样限制16个字，我都怀疑qq数据库里的也是明文密码了。

aveline

2012-01-05 00:31:41 +08:00

@Mutoo 以前学校网站也有这漏洞。。。去找老师然后老师说反正内网用没事的。。。然后还送了小礼物。。。后来才懂那就是封口费。。。

delectate

2012-01-05 00:45:03 +08:00

php，注入点。sina这也太……

貌似一个刚刚入门的php coder，也要学习如何防止注入吧。

VYSE

2012-01-05 00:46:02 +08:00

@Mutoo PHP这种注入也很多的，那时ASP更猖狂，加个冒号直接执行任意查询语句，碰MSSQL SA权限可以开SHELL，不过这次完全不一样，IASK子站数据库权限那么大，新浪安全部门存在意义何在

Livid

2012-01-05 00:47:46 +08:00

本来除了邮箱用户，大家都不是很在乎自己的新浪帐号。但是有了微博之后，新浪确实应该对自己的账户系统的安全再重视一些了。

Mutoo

2012-01-05 10:29:22 +08:00

CSDN事件过了那么多天了，SINA居然没有动作，现在被爆出来居然还用明文，这样不作为是为什么，难道上面有人要求他们这样做？

delectate

2012-01-05 10:32:38 +08:00

@Mutoo 恭喜！你猜对啦！
#account#email#pwd#id

这种存储格式，哪个傻逼网站能当数据库备份啊？明显是有神秘之手要的。

9hills

2012-01-05 13:17:58 +08:00

@Mutoo 新浪有动作的，CSDN爆了后，新浪安全部门第一时间表示新浪绝对没用明文密码，请大家放心账户安全

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/24974

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.