新浪微博非常低级安全性问题,点个链接即可登陆他人帐号

2011-06-25 17:20:44 +08:00
 Leo
http://login.sina.com.cn/sso/login.php?service=miniblog&entry=winweibo&returntype=HEADER&gateway&useticket=1&url=http%3A%2F%2Fapi.t.sina.com.cn%2F1644737*********************************************jVHuUngz%252FEqA6yc1yJZOzRhCqaqetaXJX2kmWD4iJw%252B02iDhF%252FDMy8%253D%26v%3D1


(出于安全考虑略去部分,虽然我还不知道这样略去是否足够安全...)


新浪居然把session转码存在链接里,这样一来任何获得这条链接的人都可以随时随地登陆微博帐号,经测试更换密码依然有效...我无语了,这个BUG低级又恐怖
4960 次点击
所在节点    分享发现
11 条回复
Leo
2011-06-25 17:21:30 +08:00
后来邪恶的想到,去MM电脑获取这个链接,然后....
aligo
2011-06-25 17:25:31 +08:00
url token吧
不过一般这东西一般是访问一次之后就生成一个新的,然后30秒就过期什么的
Leo
2011-06-25 17:37:31 +08:00
@aligo 我也觉得应该有个时间期限在里面,问题是这个链接今天依然有效。
CoX
2011-06-25 17:49:31 +08:00
确实是 token 问题~~而且是一直有效的,这个token是weibo应用开发的关键,但是存在链接里确实是不安全啊。
manhere
2011-06-25 17:50:46 +08:00
关键是如何去获取别人的这个链接?如果有机会抓包的话,有没有这个链接似乎区别不大,但更换密码仍有效确实很恐怖。
fim8
2011-06-25 17:55:54 +08:00
reus
2011-06-25 18:01:03 +08:00
因为有手机浏览器不支持cookie的,所以只能把session key存在url里面了… 算不上bug吧,只是无奈的折衷而已,开发者都知道这回事的。而且登录页面也提示不要将url泄漏给别人的…
Leo
2011-06-25 18:14:47 +08:00
@reus 网络环境不好时,通过微博应用打开页面就出现这个链接了,不知情的人容易copy链接发出去,我就是个杯具的例子,还好是发给朋友。

腾讯微博的做法也是这样吗
MC
2011-06-25 19:01:31 +08:00
人人好也像是这样的
xinzhi
2011-06-25 20:31:17 +08:00
腾讯也是这样的。手机版大都这样,收藏链接就能自动登录,最多提示各验证码。
xlaok
2011-06-25 22:08:21 +08:00
做了一个自己的导航站,就是用的这个url来免登录的~
如果没有这个url的话,用php能不能解决这个问题啊?就是在任何电脑上,点一个连接就自动登录,具体的思路是什么啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/14951

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX