当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010270

漏洞标题:新浪微博gsid可以导致账号被盗用

相关厂商:新浪

漏洞作者: CCOz

提交时间:2012-07-28 19:34

修复时间:2012-07-30 09:52

公开时间:2012-07-30 09:52

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-07-28: 细节已通知厂商并且等待厂商处理中
2012-07-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

仅获取新浪微博账号gsid可以使其他人直接对该账号进行操作。

详细说明:


 WooYun: @36氪 发现新浪微博的重大安全漏洞,可能导致微博帐号被轻易盗用 


中,新浪官方给的回复是gsid有过期期限,可是没有说期限是多久。在weibo.cn上,实测已经过了四天,gsid仍然可以被利用。


图中七月二十四日发贴泄露的gsid在七月二十八日我试验的时候仍然能够成功登陆。


图为我刚刚登陆的截图,可以正常发状态以及转发关注等等操作。

漏洞证明:

新浪说gsid有期限,那长达四天的期限足够做很多事情了,不知道是不是新浪在weibo.cn这里对gsid的限制遗漏了部分环节,毕竟,一个账号让别人登陆好几天跟被盗号了基本没有区别。

修复方案:

这个你们比我专业

版权声明:转载请注明来源 CCOz@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-07-30 09:52

厂商回复:

最新状态:

暂无