这是一个创建于 4918 天前的主题,其中的信息可能已经有所发展或是发生改变。
几个月前,微博的手机登陆方式更新,我记得当时要求用户加入书签后,说是千万不要把什么什么透露给别人(当时没注意记住,现在才知道是gsid)
由于这几天都在设计教室里呆着,距离无限发射的地方很远,上网比较慢。
大中午的,又想上会微博看看,weibo.com超级慢,突然就想到打开手机把书签里的网址敲进地址栏了,就类似这个
http://weibo.cn/?gsid=35xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
直接免登陆
后来我想,是不是后面的 gsid=xxxxxx 就是关键的地方
于是我在Google、百度、bing搜了俩小时,找到了几十个类似上面网址的东西,90%都能登陆
他们也太不小心了
唉
由于这几天都在设计教室里呆着,距离无限发射的地方很远,上网比较慢。
大中午的,又想上会微博看看,weibo.com超级慢,突然就想到打开手机把书签里的网址敲进地址栏了,就类似这个
http://weibo.cn/?gsid=35xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
直接免登陆
后来我想,是不是后面的 gsid=xxxxxx 就是关键的地方
于是我在Google、百度、bing搜了俩小时,找到了几十个类似上面网址的东西,90%都能登陆
他们也太不小心了
唉
 | 1 NemoAlex 2012-04-26 14:04:38 +08:00 这种应该是类似 token 之类的东西吧 一般是有时效性的 新浪的这个难道不会失效? |
 | 2 yyfearth 2012-04-26 14:06:15 +08:00 登陆后可以回复,修改资料么? |
 | 3 weakfox 2012-04-26 14:07:25 +08:00 老早以前就这么控制过一个朋友的微博。没想到现在还可以。晚上有的玩了…… |
 | 4 cxh116 2012-04-26 14:08:43 +08:00 session id java应用一般叫jsessionid |
 | 5 panxianhai 2012-04-26 14:09:53 +08:00 我也找到一个,手机端的貌似不会过期,新浪太啃爹了 |
 | 6 dianso 2012-04-26 14:11:01 +08:00 刷粉就是知道对方SID就可以了,不需要密码 |
 | 8 66450146 2012-04-26 14:25:40 +08:00 |
 | 9 kava 2012-04-26 14:29:23 +08:00 一直都这样,我都不知道渣浪咋想的 |
 | 10 Wy4q3489O1z996QO 2012-04-26 14:30:54 +08:00 手机QQ也有类似的漏洞,不过QQ的实效时间是一个月。 |
 | 11 cutehalo 2012-04-26 14:31:27 +08:00 擦 还真是啊 要是泄漏了咋办啊。。。 |
 | 12 Mrlee 2012-04-26 14:33:46 +08:00 亲测,可用 |
 | 13 virushuo 2012-04-26 14:34:31 +08:00 这不算什么问题吧,所有auth方法都有access token,泄漏了都一样。但是oauth是强制https的所以不会泄漏。 |
 | 14 est 2012-04-26 14:35:07 +08:00 这个是没有办法的办法。gsid是wap版的weibo.cn用的。wap这种老技术有限制,一些老手机不支持session或cookie,只能在URL里存。而且永不过期。 |
 | 15 printf37 2012-04-26 14:46:03 +08:00 人人也是这样,以前被google抓取了好多免登录地址 |
 | 16 x86 2012-04-26 14:47:10 +08:00 话说,wap版的qq也可以这样 |
 | 17 bhuztez 2012-04-26 14:47:50 +08:00 |
 | 19 explon 2012-04-26 15:05:24 +08:00 找到一个明星的: http://is.gd/YfxVVa |
| 20 weakfox 2012-04-26 15:05:38 +08:00 问题是,weibo.cn一方面说“将任意页面保存为书签下次即可直接登录”,又说“千万不要把url共享出去”。 虽然很明白这是为什么,而且一眼也能看出问题,但到了用户那里可就不一样了吧…… |
 | 22 subpo PRO 新浪肯定是知道这个bug的,访问时会多次提醒不要把书签信息透露给别人...这个应该是为了方便起见的功能吧 |
 | 23 liruqi 2012-04-26 15:35:21 +08:00 我两年前就发现了,然后给自己加了大约 60个粉丝。 |
 | 24 ElmerZhang 2012-04-26 15:35:47 +08:00 做过wap开发的都知道这个,没有办法的办法 |
 | 26 Anylei 2012-04-26 15:44:42 +08:00 这是一个存在很久的现象。 不过一般考虑严谨的话,会在服务器端存储这个SID的生成时间、生成时请求者的IP、UA等一些附属。每次请求的时候,根据这些东西来进行重新比对以判断是否合法。当然,具体如何判断这是一个取舍的过程。 |
 | 27 tokune 2012-04-26 15:56:05 +08:00 X,终于被爆出来了... |
 | 28 rse43 2012-05-03 12:01:39 +08:00 @zhaoyafei 我们说的大概不是同一个secret,你应该指的是生成的session id之类,而我指的是oauth中provider的secret,后者如果能轻易被穷举的话oauth也就没存在的必要了。 |
 | 29 sampeng 2012-05-03 12:06:59 +08:00 有个东西。。叫过期。。。 不过手机上的。。。居然不做过期控制就有点诡异了 |
| 30 sampeng 2012-05-03 12:08:36 +08:00 其实主要是。。手机和电脑还有点不同。。手机一般是很私人的。没人去这样去挖你的微博账号的。。。。只有技术宅没事做才研究那个网址。。。你压根就很难得到别人的这个串。。因为不是所有人都用wap啊。。。。你能拿到手机的有多少用wap来玩微博那是两说了 |
 | 31 fanzeyi 2012-05-03 12:10:20 +08:00 这个只是手机上的书签一键登录用的... 很多地方都这么用的.. 大惊小怪…… |
Select Language