V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
GeekHub
Variazioni
V2EX  ›  微博

微博见了鬼了。

  •  
  •   Variazioni · 163 天前 · 1223 次点击
    这是一个创建于 163 天前的主题,其中的信息可能已经有所发展或是发生改变。

    从 4 月 15 号开始。频繁的转发这种微博。
    已经排除是密码被盗。二次验证也开了。也没有登录的设备。还是能发。
    估计是绑定的某个 app 有问题。。已经删了一堆了。。但是不知道具体哪个。
    有没有相同情况的老哥。

    12 条回复    2020-04-18 11:36:50 +08:00
    nevin47
        1
    nevin47   163 天前
    之前发现过类似情况
    后来抓包看了下,某个浏览器 APP 偷了 token (无法确认是浏览器偷的,还是某个网站找到跨站脚本偷的)
    所以干脆把那个浏览器卸了,然后换了 Edge,再也没出现过了
    est
        2
    est   163 天前
    微博很多 api 被非加密的 http 嗅探了。然后你的 cookie 被保存了。别人直接模拟调用 api 就转发了

    然后微博 api 5 年前似乎有个老漏洞,只知道手机的 IMEI 就可以换取发帖的 session token 然后模拟发帖。记不清楚了。
    koor
        3
    koor   163 天前   ❤️ 1
    之前我的微博老会自动关注和点赞,
    https://kefu.weibo.com/selfservice 选择修正关注修正粉丝就好了
    v2student
        4
    v2student   163 天前
    @nevin47 还有这种操作?跨站脚本感觉换 Edge 也没用吧,老哥还记得是哪个浏览器吗
    Variazioni
        5
    Variazioni   163 天前
    @koor #3 感谢老哥。已经修正。
    @nevin47 #1 难道是 Firefox 的锅 我平常不怎么上微博。也没在浏览器登陆过。估计应该不是这一块的问题
    @est #2 主要是不太好排查。。
    Leonard
        6
    Leonard   163 天前
    我有过,然后下载了新浪微盾。。
    xiaozecn
        7
    xiaozecn   163 天前 via Android
    对,下载微盾,自己锁定账号。只能看,不能评论转发。过一阵子黑产看你的账号没价值了就会放过你。
    janus77
        8
    janus77   163 天前 via iPhone
    登 app,在安全设置里面有个一键踢掉全部已登录设备。这个比较靠谱
    然后就是取消第三方授权了
    Mac
        9
    Mac   163 天前
    不要用 WEB 端登陆!不要用 WEB 端登陆!不要用 WEB 端登陆!
    jadehare
        10
    jadehare   163 天前
    同微盾。就是评论的时候要手动解锁,发完再加锁,有点麻烦,不过不会再关注奇奇怪怪的人了
    nereus
        11
    nereus   163 天前 via iPhone
    渣浪的数据库,你只要告诉黑产大佬昵称,人家就能告诉你密码
    nevin47
        12
    nevin47   162 天前
    @v2student #4 手抖打错了,我想说的是跨站漏洞。换了 Edge 之后即使登录 Web 版微博也没再出这种问题了
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2683 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:05 · PVG 22:05 · LAX 07:05 · JFK 10:05
    ♥ Do have faith in what you're doing.