V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Leo
V2EX  ›  分享发现

新浪微博非常低级安全性问题,点个链接即可登陆他人帐号

  •  
  •   Leo · 2011-06-25 17:20:44 +08:00 · 4954 次点击
    这是一个创建于 4900 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://login.sina.com.cn/sso/login.php?service=miniblog&entry=winweibo&returntype=HEADER&gateway&useticket=1&url=http%3A%2F%2Fapi.t.sina.com.cn%2F1644737*********************************************jVHuUngz%252FEqA6yc1yJZOzRhCqaqetaXJX2kmWD4iJw%252B02iDhF%252FDMy8%253D%26v%3D1


    (出于安全考虑略去部分,虽然我还不知道这样略去是否足够安全...)


    新浪居然把session转码存在链接里,这样一来任何获得这条链接的人都可以随时随地登陆微博帐号,经测试更换密码依然有效...我无语了,这个BUG低级又恐怖
    11 条回复    1970-01-01 08:00:00 +08:00
    Leo
        1
    Leo  
    OP
       2011-06-25 17:21:30 +08:00
    后来邪恶的想到,去MM电脑获取这个链接,然后....
    aligo
        2
    aligo  
       2011-06-25 17:25:31 +08:00
    url token吧
    不过一般这东西一般是访问一次之后就生成一个新的,然后30秒就过期什么的
    Leo
        3
    Leo  
    OP
       2011-06-25 17:37:31 +08:00
    @aligo 我也觉得应该有个时间期限在里面,问题是这个链接今天依然有效。
    CoX
        4
    CoX  
       2011-06-25 17:49:31 +08:00
    确实是 token 问题~~而且是一直有效的,这个token是weibo应用开发的关键,但是存在链接里确实是不安全啊。
    manhere
        5
    manhere  
       2011-06-25 17:50:46 +08:00
    关键是如何去获取别人的这个链接?如果有机会抓包的话,有没有这个链接似乎区别不大,但更换密码仍有效确实很恐怖。
    fim8
        6
    fim8  
       2011-06-25 17:55:54 +08:00
    reus
        7
    reus  
       2011-06-25 18:01:03 +08:00
    因为有手机浏览器不支持cookie的,所以只能把session key存在url里面了… 算不上bug吧,只是无奈的折衷而已,开发者都知道这回事的。而且登录页面也提示不要将url泄漏给别人的…
    Leo
        8
    Leo  
    OP
       2011-06-25 18:14:47 +08:00
    @reus 网络环境不好时,通过微博应用打开页面就出现这个链接了,不知情的人容易copy链接发出去,我就是个杯具的例子,还好是发给朋友。

    腾讯微博的做法也是这样吗
    MC
        9
    MC  
       2011-06-25 19:01:31 +08:00 via iPad
    人人好也像是这样的
    xinzhi
        10
    xinzhi  
       2011-06-25 20:31:17 +08:00
    腾讯也是这样的。手机版大都这样,收藏链接就能自动登录,最多提示各验证码。
    xlaok
        11
    xlaok  
       2011-06-25 22:08:21 +08:00
    做了一个自己的导航站,就是用的这个url来免登录的~
    如果没有这个url的话,用php能不能解决这个问题啊?就是在任何电脑上,点一个连接就自动登录,具体的思路是什么啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1479 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:23 · PVG 01:23 · LAX 09:23 · JFK 12:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.