新浪微博被爆漏洞:可登陆任何账号
今日在@乌云漏洞报告平台上,白帽子黑客@路人甲 爆出了新浪微博的一个漏洞,可以登陆任意账户。
@路人甲 在漏洞描述中写到:
某漏洞shell --> 审核源码 --> 调用内部接口获取任意用户gsid --> 利用某技巧使用gsid生成SUB认证cookie --> 登陆任意微博用户(所有权限)
并已登陆王思聪的微博作为演示,目前这个漏洞已经被新浪微博确认并修复。
新浪微博在回复中写到:
感谢这位安全研究员给我们提交的漏洞,请与我们联系讨论一下奖励。诚邀更多白帽子和我们一起保护新浪、微博的安全。 @王思聪 老公放心,这个漏洞我们1小时以内就迅速修复啦~没人能够再上你 啦!你是我的,么么哒~!
有感兴趣的小伙伴请戳乌云的链接:http://www.wooyun.org/bugs/wooyun-2014-081836