V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhaoyafei
V2EX  ›  微博

这算是新浪微博的“盗号”方法吗?

  •  
  •   zhaoyafei · 2012-04-26 14:03:00 +08:00 · 48113 次点击
    这是一个创建于 4593 天前的主题,其中的信息可能已经有所发展或是发生改变。
    几个月前,微博的手机登陆方式更新,我记得当时要求用户加入书签后,说是千万不要把什么什么透露给别人(当时没注意记住,现在才知道是gsid)

    由于这几天都在设计教室里呆着,距离无限发射的地方很远,上网比较慢。

    大中午的,又想上会微博看看,weibo.com超级慢,突然就想到打开手机把书签里的网址敲进地址栏了,就类似这个

    http://weibo.cn/?gsid=3_5xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    直接免登陆

    后来我想,是不是后面的 gsid=xxxxxx 就是关键的地方

    于是我在Google、百度、bing搜了俩小时,找到了几十个类似上面网址的东西,90%都能登陆

    他们也太不小心了

    唉⋯⋯
    31 条回复    1970-01-01 08:00:00 +08:00
    NemoAlex
        1
    NemoAlex  
       2012-04-26 14:04:38 +08:00
    这种应该是类似 token 之类的东西吧
    一般是有时效性的
    新浪的这个难道不会失效?
    yyfearth
        2
    yyfearth  
       2012-04-26 14:06:15 +08:00
    登陆后可以回复,修改资料么?
    weakfox
        3
    weakfox  
       2012-04-26 14:07:25 +08:00
    老早以前就这么控制过一个朋友的微博。没想到现在还可以。晚上有的玩了……
    cxh116
        4
    cxh116  
       2012-04-26 14:08:43 +08:00
    session id
    java应用一般叫jsessionid
    panxianhai
        5
    panxianhai  
       2012-04-26 14:09:53 +08:00
    我也找到一个,手机端的貌似不会过期,新浪太啃爹了
    dianso
        6
    dianso  
       2012-04-26 14:11:01 +08:00
    刷粉就是知道对方SID就可以了,不需要密码
    weakfox
        7
    weakfox  
       2012-04-26 14:12:55 +08:00
    随便一搜,找到一个,可以用。
    Google:site:weibo.cn gsid

    这个可以提交到乌云上吗?
    66450146
        8
    66450146  
       2012-04-26 14:25:40 +08:00
    kava
        9
    kava  
       2012-04-26 14:29:23 +08:00
    一直都这样,我都不知道渣浪咋想的
    Wy4q3489O1z996QO
        10
    Wy4q3489O1z996QO  
       2012-04-26 14:30:54 +08:00
    手机QQ也有类似的漏洞,不过QQ的实效时间是一个月。
    cutehalo
        11
    cutehalo  
       2012-04-26 14:31:27 +08:00
    擦 还真是啊 要是泄漏了咋办啊。。。
    Mrlee
        12
    Mrlee  
       2012-04-26 14:33:46 +08:00
    亲测,可用
    virushuo
        13
    virushuo  
       2012-04-26 14:34:31 +08:00
    这不算什么问题吧,所有auth方法都有access token,泄漏了都一样。但是oauth是强制https的所以不会泄漏。
    est
        14
    est  
       2012-04-26 14:35:07 +08:00
    这个是没有办法的办法。gsid是wap版的weibo.cn用的。wap这种老技术有限制,一些老手机不支持session或cookie,只能在URL里存。而且永不过期。
    printf37
        15
    printf37  
       2012-04-26 14:46:03 +08:00
    人人也是这样,以前被google抓取了好多免登录地址
    x86
        16
    x86  
       2012-04-26 14:47:10 +08:00
    话说,wap版的qq也可以这样
    bhuztez
        17
    bhuztez  
       2012-04-26 14:47:50 +08:00
    @cutehalo @romotc @panxianhai @cxh116 @NemoAlex @virushuo @est 这个不是一般意义上的session,可以猜出这个 gsid 的算法类似于 crypt(SECRET, 'user:pass') 。至于是什么算法和密钥以及中间加的是不是:就不知道了。
    virushuo
        18
    virushuo  
       2012-04-26 14:54:07 +08:00
    @bhuztez 哦,明白了。这是一个可逆算法,而不是一般用的token。
    explon
        19
    explon  
       2012-04-26 15:05:24 +08:00
    找到一个明星的: http://is.gd/YfxVVa
    weakfox
        20
    weakfox  
       2012-04-26 15:05:38 +08:00
    问题是,weibo.cn一方面说“将任意页面保存为书签下次即可直接登录”,又说“千万不要把url共享出去”。

    虽然很明白这是为什么,而且一眼也能看出问题,但到了用户那里可就不一样了吧……
    rse43
        21
    rse43  
       2012-04-26 15:06:24 +08:00
    @virushuo 只要secret没泄露,access token泄露应该没关系吧,毕竟需要你的secret来生成nonce
    subpo
        22
    subpo  
       2012-04-26 15:14:09 +08:00
    新浪肯定是知道这个bug的,访问时会多次提醒不要把书签信息透露给别人...这个应该是为了方便起见的功能吧
    liruqi
        23
    liruqi  
       2012-04-26 15:35:21 +08:00
    我两年前就发现了,然后给自己加了大约 60个粉丝。
    ElmerZhang
        24
    ElmerZhang  
       2012-04-26 15:35:47 +08:00
    做过wap开发的都知道这个,没有办法的办法
    zhaoyafei
        25
    zhaoyafei  
    OP
       2012-04-26 15:41:41 +08:00
    @bhuztez @rse43

    我觉得这个 secret 穷举一下,还是有技巧的。

    就看运气了
    Anylei
        26
    Anylei  
       2012-04-26 15:44:42 +08:00
    这是一个存在很久的现象。

    不过一般考虑严谨的话,会在服务器端存储这个SID的生成时间、生成时请求者的IP、UA等一些附属。每次请求的时候,根据这些东西来进行重新比对以判断是否合法。当然,具体如何判断这是一个取舍的过程。
    tokune
        27
    tokune  
       2012-04-26 15:56:05 +08:00
    X,终于被爆出来了...
    rse43
        28
    rse43  
       2012-05-03 12:01:39 +08:00
    @zhaoyafei 我们说的大概不是同一个secret,你应该指的是生成的session id之类,而我指的是oauth中provider的secret,后者如果能轻易被穷举的话oauth也就没存在的必要了。
    sampeng
        29
    sampeng  
       2012-05-03 12:06:59 +08:00
    有个东西。。叫过期。。。
    不过手机上的。。。居然不做过期控制就有点诡异了
    sampeng
        30
    sampeng  
       2012-05-03 12:08:36 +08:00
    其实主要是。。手机和电脑还有点不同。。手机一般是很私人的。没人去这样去挖你的微博账号的。。。。只有技术宅没事做才研究那个网址。。。你压根就很难得到别人的这个串。。因为不是所有人都用wap啊。。。。你能拿到手机的有多少用wap来玩微博那是两说了
    fanzeyi
        31
    fanzeyi  
       2012-05-03 12:10:20 +08:00
    这个只是手机上的书签一键登录用的... 很多地方都这么用的.. 大惊小怪……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2794 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 13:44 · PVG 21:44 · LAX 05:44 · JFK 08:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.