微博见了鬼了。

2020-04-17 17:10:32 +08:00
 Variazioni

从 4 月 15 号开始。频繁的转发这种微博。
已经排除是密码被盗。二次验证也开了。也没有登录的设备。还是能发。
估计是绑定的某个 app 有问题。。已经删了一堆了。。但是不知道具体哪个。
有没有相同情况的老哥。

2782 次点击
所在节点    微博
12 条回复
nevin47
2020-04-17 17:15:48 +08:00
之前发现过类似情况
后来抓包看了下,某个浏览器 APP 偷了 token (无法确认是浏览器偷的,还是某个网站找到跨站脚本偷的)
所以干脆把那个浏览器卸了,然后换了 Edge,再也没出现过了
est
2020-04-17 17:17:15 +08:00
微博很多 api 被非加密的 http 嗅探了。然后你的 cookie 被保存了。别人直接模拟调用 api 就转发了

然后微博 api 5 年前似乎有个老漏洞,只知道手机的 IMEI 就可以换取发帖的 session token 然后模拟发帖。记不清楚了。
koor
2020-04-17 17:18:40 +08:00
之前我的微博老会自动关注和点赞,
https://kefu.weibo.com/selfservice 选择修正关注修正粉丝就好了
v2student
2020-04-17 17:19:16 +08:00
@nevin47 还有这种操作?跨站脚本感觉换 Edge 也没用吧,老哥还记得是哪个浏览器吗
Variazioni
2020-04-17 17:51:20 +08:00
@koor #3 感谢老哥。已经修正。
@nevin47 #1 难道是 Firefox 的锅 我平常不怎么上微博。也没在浏览器登陆过。估计应该不是这一块的问题
@est #2 主要是不太好排查。。
Leonard
2020-04-17 18:04:41 +08:00
我有过,然后下载了新浪微盾。。
xiaozecn
2020-04-17 18:12:35 +08:00
对,下载微盾,自己锁定账号。只能看,不能评论转发。过一阵子黑产看你的账号没价值了就会放过你。
janus77
2020-04-17 18:14:04 +08:00
登 app,在安全设置里面有个一键踢掉全部已登录设备。这个比较靠谱
然后就是取消第三方授权了
Mac
2020-04-17 18:14:54 +08:00
不要用 WEB 端登陆!不要用 WEB 端登陆!不要用 WEB 端登陆!
jadehare
2020-04-17 18:16:58 +08:00
同微盾。就是评论的时候要手动解锁,发完再加锁,有点麻烦,不过不会再关注奇奇怪怪的人了
nereus
2020-04-17 19:59:11 +08:00
渣浪的数据库,你只要告诉黑产大佬昵称,人家就能告诉你密码
nevin47
2020-04-18 11:36:50 +08:00
@v2student #4 手抖打错了,我想说的是跨站漏洞。换了 Edge 之后即使登录 Web 版微博也没再出这种问题了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/663512

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX