当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04110

漏洞标题:关于新浪微博的一些问题

相关厂商:新浪

漏洞作者: pestu

提交时间:2012-01-31 16:19

修复时间:2012-03-16 16:20

公开时间:2012-03-16 16:20

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-01-31: 细节已通知厂商并且等待厂商处理中
2012-02-01: 厂商已经确认,细节仅向厂商公开
2012-02-11: 细节向核心白帽子及相关领域专家公开
2012-02-21: 细节向普通白帽子公开
2012-03-02: 细节向实习白帽子公开
2012-03-16: 细节向公众公开

简要描述:

目前国内很多地方都部署有WLAN,比如机场、酒店、学校、营业场所、公共交通场所等,而且很多地方都是免费提供的,例如某些机场通过新浪微博帐号就可登录WLAN。新浪微博现在火,特别是成功人士都在用,在这些场所登录新浪微博,完全没有隐私可言,而且还有可能被人冒用身份发微博,发私信等。

详细说明:

在提交之前特意搜索了一下,henrys_dad 在很早之前(2011-07-31)就提交了新浪微博iphone客户端问题 WooYun: 新浪微博iphone客户端问题 而这个问题到2012年1月28日发布的新版iphone客户端才解决,在此之前都是明文传输密码的,厂商给出的漏洞Rank:3。也许大家看待这个漏洞的角度不同,但是在公共场合使用免费的wifi上新浪微博真的很不安全。在公共场合的wifi环境里,不管你是使用笔记本电脑通过http://www.weibo.com访问新浪微博,还是用手机在浏览器中打开新浪微博(http://www.weibo.cn),或者通过iphone客户端、Android客户端或ipad等访问,都有可能被session hijacking.表达能力不行,还是看图吧。

漏洞证明:

iPad登录:


密码明文传输。
有人会说,我在家里登录微博没有退出,不需要输入密码,iPad是通过cookie来验证客户端身份的,那就存在被session hijacking 的可能.


服务器返回的信息是xml格式的明文信息,ipad,iphone,android设备的客户端都一样。


既然已经做了客户端了,为什么不把这些信息加密呢?这让通过微博发私信约炮的同学情何以堪?
目前新浪微博网页版http://www.weibo.com登录中加密方法的复杂度已不低于腾讯,通过ARP攻击获取到密码字段是经过加密的,没有什么意义。但是通过session hijacking,依然可以做很多事情。
看图:


session hijacking成功例子:


图中用到的软件是DroidSheep ,正如软件作者所说的那样DroidSheep now supports nearly all Websites using Cookies!
有矛就有盾,DroidSheep的作者还开发了另外一款工具DroidSheep Guard用来检测网络中是否存在ARP攻击。
新浪微博手机版www.weibo.cn


这个不用多说了吧,人家已说明是使用明文密码传输。
再看看iphone或Android客户端,最新版的iphone或Android客户端密码已经加密了,没有使用cookie,无法进行session hijacking,那是否就安全了呢?当然不是,首先微博内容都是以xml格式明文传传输的,这个不多说。我们主要来看看如何arp来获取敏感信息并登录他人的微博。正常使用iphone客户端登录微博,服务器会返回以下信息:


有sid gsid uid nick等,其中nick是你的呢称,uid是您的唯一标识,如身份证id,而gsid是一个和您的密码有关的值,初步估计是用uid,您的密码等值通过某种算法得出来的。在您不修改密码的前提下,gsid是固定的,每次登录都一样。而且客户端向服务器提交的每一个请求都包话这个信息。通过分析发现,只需要知道uid和gsid就可能非法登录他人的微博进行任何操作(除了修改密码).具体操作是:在iphone上设置http代理(fiddler),正常登录微博,fiddler中断在Response,把服务器返回的uid和gsid修改成他人的uid和gsid后返回给iphone客户端,这时你会发现,你登录了他人的微博并能进行任何操作。至少如何获取他人的uid和gsid,看图:


通过cain在公共场所的wifi下,只有有人通过手机客户端访问微博,你不一会就会获得很多。Android客户端和iphone4的原理一样。
上面说了很多,不知道我有没有讲明白。总之公共场合的wifi环境访问新浪微博不安全

修复方案:

上面提到的问题,不是新浪一家公司能解决的,目前的WLAN环境就是这样,一般都没有防arp攻击。但是新浪可以对敏感信息进行加密传输,加强客户端的验证。

版权声明:转载请注明来源 pestu@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-02-01 10:00

厂商回复:

感谢pestu,您反应的问题属于MITM攻击大类,也是很多公司存在的普适问题。新浪安全已经有比较合适的方案解决此问题,但仍需时间测试和改进。

最新状态:

暂无