这算是新浪微博的“盗号”方法吗？

NemoAlex

2012-04-26 14:04:38 +08:00

这种应该是类似 token 之类的东西吧
一般是有时效性的
新浪的这个难道不会失效？

yyfearth

2012-04-26 14:06:15 +08:00

登陆后可以回复，修改资料么？

weakfox

2012-04-26 14:07:25 +08:00

老早以前就这么控制过一个朋友的微博。没想到现在还可以。晚上有的玩了……

cxh116

2012-04-26 14:08:43 +08:00

session id
java应用一般叫jsessionid

panxianhai

2012-04-26 14:09:53 +08:00

我也找到一个，手机端的貌似不会过期，新浪太啃爹了

dianso

2012-04-26 14:11:01 +08:00

刷粉就是知道对方SID就可以了，不需要密码

weakfox

2012-04-26 14:12:55 +08:00

随便一搜，找到一个，可以用。
Google:site:weibo.cn gsid

这个可以提交到乌云上吗？

66450146

2012-04-26 14:25:40 +08:00

@weakfox 乌云上已经有了：
http://www.wooyun.org/bugs/wooyun-2010-01530

kava

2012-04-26 14:29:23 +08:00

一直都这样，我都不知道渣浪咋想的

Wy4q3489O1z996QO

2012-04-26 14:30:54 +08:00

手机QQ也有类似的漏洞，不过QQ的实效时间是一个月。

cutehalo

2012-04-26 14:31:27 +08:00

擦还真是啊要是泄漏了咋办啊。。。

Mrlee

2012-04-26 14:33:46 +08:00

亲测，可用

virushuo

2012-04-26 14:34:31 +08:00

这不算什么问题吧，所有auth方法都有access token，泄漏了都一样。但是oauth是强制https的所以不会泄漏。

est

2012-04-26 14:35:07 +08:00

这个是没有办法的办法。gsid是wap版的weibo.cn用的。wap这种老技术有限制，一些老手机不支持session或cookie，只能在URL里存。而且永不过期。

printf37

2012-04-26 14:46:03 +08:00

人人也是这样，以前被google抓取了好多免登录地址

x86

2012-04-26 14:47:10 +08:00

话说，wap版的qq也可以这样

bhuztez

2012-04-26 14:47:50 +08:00

@cutehalo @romotc @panxianhai @cxh116 @NemoAlex @virushuo @est 这个不是一般意义上的session，可以猜出这个 gsid 的算法类似于 crypt(SECRET, 'user:pass') 。至于是什么算法和密钥以及中间加的是不是:就不知道了。

virushuo

2012-04-26 14:54:07 +08:00

@bhuztez 哦，明白了。这是一个可逆算法，而不是一般用的token。

explon

2012-04-26 15:05:24 +08:00

找到一个明星的: http://is.gd/YfxVVa

weakfox

2012-04-26 15:05:38 +08:00

问题是，weibo.cn一方面说“将任意页面保存为书签下次即可直接登录”，又说“千万不要把url共享出去”。

虽然很明白这是为什么，而且一眼也能看出问题，但到了用户那里可就不一样了吧……