这算是新浪微博的“盗号”方法吗?

2012-04-26 14:03:00 +08:00
 zhaoyafei
几个月前,微博的手机登陆方式更新,我记得当时要求用户加入书签后,说是千万不要把什么什么透露给别人(当时没注意记住,现在才知道是gsid)

由于这几天都在设计教室里呆着,距离无限发射的地方很远,上网比较慢。

大中午的,又想上会微博看看,weibo.com超级慢,突然就想到打开手机把书签里的网址敲进地址栏了,就类似这个

http://weibo.cn/?gsid=3_5xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

直接免登陆

后来我想,是不是后面的 gsid=xxxxxx 就是关键的地方

于是我在Google、百度、bing搜了俩小时,找到了几十个类似上面网址的东西,90%都能登陆

他们也太不小心了

唉⋯⋯
48141 次点击
所在节点    微博
31 条回复
NemoAlex
2012-04-26 14:04:38 +08:00
这种应该是类似 token 之类的东西吧
一般是有时效性的
新浪的这个难道不会失效?
yyfearth
2012-04-26 14:06:15 +08:00
登陆后可以回复,修改资料么?
weakfox
2012-04-26 14:07:25 +08:00
老早以前就这么控制过一个朋友的微博。没想到现在还可以。晚上有的玩了……
cxh116
2012-04-26 14:08:43 +08:00
session id
java应用一般叫jsessionid
panxianhai
2012-04-26 14:09:53 +08:00
我也找到一个,手机端的貌似不会过期,新浪太啃爹了
dianso
2012-04-26 14:11:01 +08:00
刷粉就是知道对方SID就可以了,不需要密码
weakfox
2012-04-26 14:12:55 +08:00
随便一搜,找到一个,可以用。
Google:site:weibo.cn gsid

这个可以提交到乌云上吗?
66450146
2012-04-26 14:25:40 +08:00
kava
2012-04-26 14:29:23 +08:00
一直都这样,我都不知道渣浪咋想的
Wy4q3489O1z996QO
2012-04-26 14:30:54 +08:00
手机QQ也有类似的漏洞,不过QQ的实效时间是一个月。
cutehalo
2012-04-26 14:31:27 +08:00
擦 还真是啊 要是泄漏了咋办啊。。。
Mrlee
2012-04-26 14:33:46 +08:00
亲测,可用
virushuo
2012-04-26 14:34:31 +08:00
这不算什么问题吧,所有auth方法都有access token,泄漏了都一样。但是oauth是强制https的所以不会泄漏。
est
2012-04-26 14:35:07 +08:00
这个是没有办法的办法。gsid是wap版的weibo.cn用的。wap这种老技术有限制,一些老手机不支持session或cookie,只能在URL里存。而且永不过期。
printf37
2012-04-26 14:46:03 +08:00
人人也是这样,以前被google抓取了好多免登录地址
x86
2012-04-26 14:47:10 +08:00
话说,wap版的qq也可以这样
bhuztez
2012-04-26 14:47:50 +08:00
@cutehalo @romotc @panxianhai @cxh116 @NemoAlex @virushuo @est 这个不是一般意义上的session,可以猜出这个 gsid 的算法类似于 crypt(SECRET, 'user:pass') 。至于是什么算法和密钥以及中间加的是不是:就不知道了。
virushuo
2012-04-26 14:54:07 +08:00
@bhuztez 哦,明白了。这是一个可逆算法,而不是一般用的token。
explon
2012-04-26 15:05:24 +08:00
找到一个明星的: http://is.gd/YfxVVa
weakfox
2012-04-26 15:05:38 +08:00
问题是,weibo.cn一方面说“将任意页面保存为书签下次即可直接登录”,又说“千万不要把url共享出去”。

虽然很明白这是为什么,而且一眼也能看出问题,但到了用户那里可就不一样了吧……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/33657

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX