当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011044

漏洞标题:新浪微博关注关系遭篡改

相关厂商:新浪

漏洞作者: xslidian

提交时间:2012-08-20 17:43

修复时间:2012-10-04 17:43

公开时间:2012-10-04 17:43

漏洞类型:成功的入侵事件

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-20: 细节已通知厂商并且等待厂商处理中
2012-08-22: 厂商已经确认,细节仅向厂商公开
2012-09-01: 细节向核心白帽子及相关领域专家公开
2012-09-11: 细节向普通白帽子公开
2012-09-21: 细节向实习白帽子公开
2012-10-04: 细节向公众公开

简要描述:

强行推送关注,官方微博中弹。

详细说明:

现已知:
1、关注列表中显示“通过新浪微博关注”,因此授权恶意应用的说法不成立;
2、关注列表按关注时间排列,而营销账号插入的位置(时间点)早于该账号的创建时间,因此不可能是恶意脚本引发;
3、部分新浪官方运维的账号也被强插关注,似乎还没有察觉。

漏洞证明:

以“虚假活动曝光”(http://weibo.com/huodong2010)这个认证微博为例,该用户的正常关注应该只有认证账号和有影响力的用户。分析其关注列表可发现下述明显的可疑用户:
uid 昵称 粉丝数
1733581453 白领职场人生 432413
2885497004 学点赚钱之道 1749271
2885523182 微博视频 1338484
2885576360 生活百科 1553013
2650276163 青年文摘流行... 108316
1899909745 聚美汇 121016
2885599240 紧急求生常识 1093280
1744618210 有奖活动大本营 493262
2017941673 快乐微时报 2114559
(机器筛选结果,可能有偏差。)
针对近日出现的“紧急求生常识”(2885599240,注册时间 Wed Aug 01 17:03:56 +0800 2012),有如下发言为证:
http://weibo.com/1806384300/yxeDDcRZA
日出围城:@紧急求生常识 这个恶心的微博账号!明明没关注过它,却出现在刷新的微博的页面中!查看关注名单,第一页也没有显示,仔细翻看才发现它混在我其他关注的人之中!而且前不久才把关注的人都做了分组,而它却在未分组里!看来现在的技术是越来越高明了!!
转发| 收藏| 评论(12) 8月15日08:53 来自新浪微博
http://weibo.com/2175904247/yxgwp3jQ1
被虐待的海洛斯: @紧急求生常识 这微博谁能告诉我它两天前的名字是啥?看来以后不搞备注不行啊…
转发| 收藏| 评论 8月15日13:41 来自iPhone客户端
http://weibo.com/1821776960/yxiPPioGG
卡步达:我什么时候关注的@紧急求生常识 ???难道。。。我失忆啦?!不过,看起来挺不错的
转发| 收藏| 评论 8月15日19:34 来自Android客户端
http://weibo.com/1294610765/yxlepgmsa
对月无言:取消关注这货@紧急求生常识 ,我关注了250个微博。以此微博为记,若关注的人并非我本人亲自操作,我就谴责新浪@微博Android客户端
转发| 收藏| 评论 8月16日01:40 来自新浪微博
http://weibo.com/1799457063/yxpsBr1Ay
小高高高高高:#蛋疼#刷出一条@紧急求生常识 的微博,但是很确定没关注过这个营销号,查得此号最新的微博是8月2号,再把我关注的人按照时间排序,没有关注此ID的信息,再在我关注的人中搜索此号ID,显示没有找到昵称或备注含“紧急求生常识”的人。于是这种情况就是我被新浪卖给营销号了?@微博小秘书
转发| 取消收藏| 评论(5) 8月16日12:26 来自新浪微博

修复方案:

三周内的各种日志应该都有保存吧,就看新浪愿不愿意查下去了。

版权声明:转载请注明来源 xslidian@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2012-08-22 11:22

厂商回复:

感谢提供,相关部门正在处理。

最新状态:

暂无