新浪微博被爆漏洞:可登陆任何账号

今日在@乌云漏洞报告平台上,白帽子黑客@路人甲 爆出了新浪微博的一个漏洞,可以登陆任意账户。

@路人甲 在漏洞描述中写到:

某漏洞shell --> 审核源码 --> 调用内部接口获取任意用户gsid --> 利用某技巧使用gsid生成SUB认证cookie --> 登陆任意微博用户(所有权限)

并已登陆王思聪的微博作为演示,目前这个漏洞已经被新浪微博确认并修复。

新浪微博在回复中写到:

感谢这位安全研究员给我们提交的漏洞,请与我们联系讨论一下奖励。诚邀更多白帽子和我们一起保护新浪、微博的安全。 @王思聪 老公放心,这个漏洞我们1小时以内就迅速修复啦~没人能够再上你 啦!你是我的,么么哒~!

有感兴趣的小伙伴请戳乌云的链接:http://www.wooyun.org/bugs/wooyun-2014-081836

新浪微博被爆漏洞:可登陆任何账号

本文由 蓝点网 作者:山外的鸭子哥 发表,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

评论:

3 条评论,访客:3 条,站长:0 条
  1. KC1127
    KC1127发布于: 
    蓝点网小程序版 蓝点网小程序版 微信浏览器 微信浏览器

    新浪的程序都是渣渣

发表评论