当前位置:首页-正文

新浪微博被爆漏洞:可登陆任何账号

今日在@乌云漏洞报告平台上,白帽子黑客@路人甲 爆出了新浪微博的一个漏洞,可以登陆任意账户。

@路人甲 在漏洞描述中写到:

某漏洞shell --> 审核源码 --> 调用内部接口获取任意用户gsid --> 利用某技巧使用gsid生成SUB认证cookie --> 登陆任意微博用户(所有权限)

并已登陆王思聪的微博作为演示,目前这个漏洞已经被新浪微博确认并修复。

新浪微博在回复中写到:

感谢这位安全研究员给我们提交的漏洞,请与我们联系讨论一下奖励。诚邀更多白帽子和我们一起保护新浪、微博的安全。 @王思聪 老公放心,这个漏洞我们1小时以内就迅速修复啦~没人能够再上你 啦!你是我的,么么哒~!

有感兴趣的小伙伴请戳乌云的链接:http://www.wooyun.org/bugs/wooyun-2014-081836

新浪微博被爆漏洞:可登陆任何账号

感谢您的阅读,本文为蓝点网原创内容,转载时请标注来源于蓝点网和本文链接

相关文章

换一批