这是一个创建于 4389 天前的主题,其中的信息可能已经有所发展或是发生改变。
几个月前,微博的手机登陆方式更新,我记得当时要求用户加入书签后,说是千万不要把什么什么透露给别人(当时没注意记住,现在才知道是gsid)
由于这几天都在设计教室里呆着,距离无限发射的地方很远,上网比较慢。
大中午的,又想上会微博看看,weibo.com超级慢,突然就想到打开手机把书签里的网址敲进地址栏了,就类似这个
http://weibo.cn/?gsid=3_5xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
直接免登陆
后来我想,是不是后面的 gsid=xxxxxx 就是关键的地方
于是我在Google、百度、bing搜了俩小时,找到了几十个类似上面网址的东西,90%都能登陆
他们也太不小心了
唉⋯⋯
由于这几天都在设计教室里呆着,距离无限发射的地方很远,上网比较慢。
大中午的,又想上会微博看看,weibo.com超级慢,突然就想到打开手机把书签里的网址敲进地址栏了,就类似这个
http://weibo.cn/?gsid=3_5xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
直接免登陆
后来我想,是不是后面的 gsid=xxxxxx 就是关键的地方
于是我在Google、百度、bing搜了俩小时,找到了几十个类似上面网址的东西,90%都能登陆
他们也太不小心了
唉⋯⋯
 |
1
NemoAlex 2012-04-26 14:04:38 +08:00
这种应该是类似 token 之类的东西吧
一般是有时效性的 新浪的这个难道不会失效? |
 |
2
yyfearth 2012-04-26 14:06:15 +08:00
登陆后可以回复,修改资料么?
|
 |
3
weakfox 2012-04-26 14:07:25 +08:00
老早以前就这么控制过一个朋友的微博。没想到现在还可以。晚上有的玩了……
|
 |
4
cxh116 2012-04-26 14:08:43 +08:00
session id
java应用一般叫jsessionid |
 |
5
panxianhai 2012-04-26 14:09:53 +08:00
我也找到一个,手机端的貌似不会过期,新浪太啃爹了
|
 |
6
dianso 2012-04-26 14:11:01 +08:00
刷粉就是知道对方SID就可以了,不需要密码
|
 |
8
66450146 2012-04-26 14:25:40 +08:00
|
 |
9
kava 2012-04-26 14:29:23 +08:00
一直都这样,我都不知道渣浪咋想的
|
 |
10
romotc 2012-04-26 14:30:54 +08:00
手机QQ也有类似的漏洞,不过QQ的实效时间是一个月。
|
 |
11
cutehalo 2012-04-26 14:31:27 +08:00
擦 还真是啊 要是泄漏了咋办啊。。。
|
 |
12
Mrlee 2012-04-26 14:33:46 +08:00
亲测,可用
|
 |
13
virushuo 2012-04-26 14:34:31 +08:00
这不算什么问题吧,所有auth方法都有access token,泄漏了都一样。但是oauth是强制https的所以不会泄漏。
|
 |
14
est 2012-04-26 14:35:07 +08:00
这个是没有办法的办法。gsid是wap版的weibo.cn用的。wap这种老技术有限制,一些老手机不支持session或cookie,只能在URL里存。而且永不过期。
|
 |
15
printf37 2012-04-26 14:46:03 +08:00
人人也是这样,以前被google抓取了好多免登录地址
|
 |
16
x86 2012-04-26 14:47:10 +08:00
话说,wap版的qq也可以这样
|
 |
17
bhuztez 2012-04-26 14:47:50 +08:00
|
 |
19
explon 2012-04-26 15:05:24 +08:00
找到一个明星的: http://is.gd/YfxVVa
|
|
20
weakfox 2012-04-26 15:05:38 +08:00
问题是,weibo.cn一方面说“将任意页面保存为书签下次即可直接登录”,又说“千万不要把url共享出去”。
虽然很明白这是为什么,而且一眼也能看出问题,但到了用户那里可就不一样了吧…… |
 |
22
subpo 2012-04-26 15:14:09 +08:00
新浪肯定是知道这个bug的,访问时会多次提醒不要把书签信息透露给别人...这个应该是为了方便起见的功能吧
|
 |
23
liruqi 2012-04-26 15:35:21 +08:00
我两年前就发现了,然后给自己加了大约 60个粉丝。
|
 |
24
ElmerZhang 2012-04-26 15:35:47 +08:00
做过wap开发的都知道这个,没有办法的办法
|
 |
26
Anylei 2012-04-26 15:44:42 +08:00
这是一个存在很久的现象。
不过一般考虑严谨的话,会在服务器端存储这个SID的生成时间、生成时请求者的IP、UA等一些附属。每次请求的时候,根据这些东西来进行重新比对以判断是否合法。当然,具体如何判断这是一个取舍的过程。 |
 |
27
tokune 2012-04-26 15:56:05 +08:00
X,终于被爆出来了...
|
 |
28
rse43 2012-05-03 12:01:39 +08:00
@zhaoyafei 我们说的大概不是同一个secret,你应该指的是生成的session id之类,而我指的是oauth中provider的secret,后者如果能轻易被穷举的话oauth也就没存在的必要了。
|
 |
29
sampeng 2012-05-03 12:06:59 +08:00
有个东西。。叫过期。。。
不过手机上的。。。居然不做过期控制就有点诡异了 |
|
30
sampeng 2012-05-03 12:08:36 +08:00
其实主要是。。手机和电脑还有点不同。。手机一般是很私人的。没人去这样去挖你的微博账号的。。。。只有技术宅没事做才研究那个网址。。。你压根就很难得到别人的这个串。。因为不是所有人都用wap啊。。。。你能拿到手机的有多少用wap来玩微博那是两说了
|
 |
31
fanzeyi 2012-05-03 12:10:20 +08:00
这个只是手机上的书签一键登录用的... 很多地方都这么用的.. 大惊小怪……
|
Select Language