这算是新浪微博的“盗号”方法吗？

2012-04-26 14:03:00 +08:00

zhaoyafei

几个月前，微博的手机登陆方式更新，我记得当时要求用户加入书签后，说是千万不要把什么什么透露给别人（当时没注意记住，现在才知道是gsid）

由于这几天都在设计教室里呆着，距离无限发射的地方很远，上网比较慢。

大中午的，又想上会微博看看，weibo.com超级慢，突然就想到打开手机把书签里的网址敲进地址栏了，就类似这个

http://weibo.cn/?gsid=3_5xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

直接免登陆

后来我想，是不是后面的 gsid=xxxxxx 就是关键的地方

于是我在Google、百度、bing搜了俩小时，找到了几十个类似上面网址的东西，90%都能登陆

他们也太不小心了

唉⋯⋯

48064 次点击

所在节点

微博

31 条回复

rse43

2012-04-26 15:06:24 +08:00

@virushuo 只要secret没泄露，access token泄露应该没关系吧，毕竟需要你的secret来生成nonce

subpo

2012-04-26 15:14:09 +08:00

新浪肯定是知道这个bug的，访问时会多次提醒不要把书签信息透露给别人...这个应该是为了方便起见的功能吧

liruqi

2012-04-26 15:35:21 +08:00

我两年前就发现了，然后给自己加了大约 60个粉丝。

ElmerZhang

2012-04-26 15:35:47 +08:00

做过wap开发的都知道这个，没有办法的办法

zhaoyafei

2012-04-26 15:41:41 +08:00

@bhuztez @rse43

我觉得这个 secret 穷举一下，还是有技巧的。

就看运气了

Anylei

2012-04-26 15:44:42 +08:00

这是一个存在很久的现象。

不过一般考虑严谨的话，会在服务器端存储这个SID的生成时间、生成时请求者的IP、UA等一些附属。每次请求的时候，根据这些东西来进行重新比对以判断是否合法。当然，具体如何判断这是一个取舍的过程。

tokune

2012-04-26 15:56:05 +08:00

X,终于被爆出来了...

rse43

2012-05-03 12:01:39 +08:00

@zhaoyafei 我们说的大概不是同一个secret，你应该指的是生成的session id之类，而我指的是oauth中provider的secret，后者如果能轻易被穷举的话oauth也就没存在的必要了。

sampeng

2012-05-03 12:06:59 +08:00

有个东西。。叫过期。。。
不过手机上的。。。居然不做过期控制就有点诡异了

sampeng

2012-05-03 12:08:36 +08:00

其实主要是。。手机和电脑还有点不同。。手机一般是很私人的。没人去这样去挖你的微博账号的。。。。只有技术宅没事做才研究那个网址。。。你压根就很难得到别人的这个串。。因为不是所有人都用wap啊。。。。你能拿到手机的有多少用wap来玩微博那是两说了

fanzeyi

2012-05-03 12:10:20 +08:00

这个只是手机上的书签一键登录用的... 很多地方都这么用的.. 大惊小怪……

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/33657

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.