这算是新浪微博的“盗号”方法吗?

2012-04-26 14:03:00 +08:00
 zhaoyafei
几个月前,微博的手机登陆方式更新,我记得当时要求用户加入书签后,说是千万不要把什么什么透露给别人(当时没注意记住,现在才知道是gsid)

由于这几天都在设计教室里呆着,距离无限发射的地方很远,上网比较慢。

大中午的,又想上会微博看看,weibo.com超级慢,突然就想到打开手机把书签里的网址敲进地址栏了,就类似这个

http://weibo.cn/?gsid=3_5xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

直接免登陆

后来我想,是不是后面的 gsid=xxxxxx 就是关键的地方

于是我在Google、百度、bing搜了俩小时,找到了几十个类似上面网址的东西,90%都能登陆

他们也太不小心了

唉⋯⋯
48141 次点击
所在节点    微博
31 条回复
rse43
2012-04-26 15:06:24 +08:00
@virushuo 只要secret没泄露,access token泄露应该没关系吧,毕竟需要你的secret来生成nonce
subpo
2012-04-26 15:14:09 +08:00
新浪肯定是知道这个bug的,访问时会多次提醒不要把书签信息透露给别人...这个应该是为了方便起见的功能吧
liruqi
2012-04-26 15:35:21 +08:00
我两年前就发现了,然后给自己加了大约 60个粉丝。
ElmerZhang
2012-04-26 15:35:47 +08:00
做过wap开发的都知道这个,没有办法的办法
zhaoyafei
2012-04-26 15:41:41 +08:00
@bhuztez @rse43

我觉得这个 secret 穷举一下,还是有技巧的。

就看运气了
Anylei
2012-04-26 15:44:42 +08:00
这是一个存在很久的现象。

不过一般考虑严谨的话,会在服务器端存储这个SID的生成时间、生成时请求者的IP、UA等一些附属。每次请求的时候,根据这些东西来进行重新比对以判断是否合法。当然,具体如何判断这是一个取舍的过程。
tokune
2012-04-26 15:56:05 +08:00
X,终于被爆出来了...
rse43
2012-05-03 12:01:39 +08:00
@zhaoyafei 我们说的大概不是同一个secret,你应该指的是生成的session id之类,而我指的是oauth中provider的secret,后者如果能轻易被穷举的话oauth也就没存在的必要了。
sampeng
2012-05-03 12:06:59 +08:00
有个东西。。叫过期。。。
不过手机上的。。。居然不做过期控制就有点诡异了
sampeng
2012-05-03 12:08:36 +08:00
其实主要是。。手机和电脑还有点不同。。手机一般是很私人的。没人去这样去挖你的微博账号的。。。。只有技术宅没事做才研究那个网址。。。你压根就很难得到别人的这个串。。因为不是所有人都用wap啊。。。。你能拿到手机的有多少用wap来玩微博那是两说了
fanzeyi
2012-05-03 12:10:20 +08:00
这个只是手机上的书签一键登录用的... 很多地方都这么用的.. 大惊小怪……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/33657

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX