【飞黎的回答(25票)】:
这个漏洞的发现源于我在使用网页版本的新浪微博。
在使用过程中,看到跳转的链接中,包含了我自己的gsid。
然后我好奇的google了下“新浪 gsid”,
然后接着搜索“site:http://weibo.com gsid”就搜到了@蒋涛CSDN 的gsid。
目前到底是什么泄露了gsid?
google一下,你就知道,答案是:新浪微盘!!!
稍微解释下gsid:
新浪微博,有一个手机gsid的漏洞,就是可以从谷歌搜到用户的gsid,然后用chrome或者pctowap访问一个特定连接,就可以直接登录用户账号并进行操作了。wap不支持保存cookie,就只能用gsid保存登录状态了,所以产生了这个漏洞,理论上来讲,只要搞到某个人的gsid,他在24小时内登陆过,就可以随意操作他的号了,超过24小时未登录,gsid才失效,换个新的。
而蒋涛几乎天天挂着微博,所以他的gsid自从被google收录后,就再也没过期过了。
所以我访问:http://weibo.cn/?tf=5_009&gsid=4uV0d1493p4Ee8x8OQSpw5GEGeL 这个网址就可以了,目前新浪已经修复了bug,之前是直接能看到如下界面的:
大家自己使用过wap,对这个页面一定不陌生。这个功能由来已久,相信这个漏洞也存在很久了。
联想到之前的大概8点20发事件和最近很多人反应微博莫名其妙的多了一个广告帖。
我猜测这不是传统的盗账号密码,而是盗了gsid。
刚才看到这篇知乎:新浪微博 的 GSID 是什么?为什么能被用来攻击? ,更加确定了这个漏洞由来已久,被小人利用了太久了。。。
我能发微博,能看他关注的人,能评论转发删除微博,能看私信,所有的功能都可以。因为我就是用他的账号在登录!!!想想真后怕,不寒而栗啊!!!
【邓棵的回答(8票)】:
微博手机版通过一种普遍的在 URL 中加入一个 gsid 参数的方法来解决保持用户登录状态的问题(弥补 Wap 页面无法使用 cookies 的不足),但是之前微博的对 gsid 的处理非常草率,甚至有可能是直接由 uid 等参数 hash 而成[1]。再加上用户对于自己手机登陆网址的泄露、搜索引擎的爬虫抓取等原因,在 Google、百度等网站上 gsid 已经泛滥成灾,稍微会一点技术的人都可以通过搜索一定相关字段来找到这些 gsid,例如搜索:
site:http://m.weibo.cn gsid目前仍然能找到上万条搜索结果,均为 http://m.weibo.com 含有 gsid 的链接。
https://www.google.com/#q=site:m.weibo.cn+gsid&safe=off&filter=0
除此之外,gsid 还能通过 ARP 欺骗、Http Referer、手机客户端的数据库等多种方式获取[1]。
此类包含 gsid 的网址很可能被用以登录他人的账号,达到操纵发微博等目的。
这个漏洞存在已久,微博长期以来对此是缝缝补补,但是仍然没有彻底根治此问题。因此一年以来因 gsid 造成的账号泄露问题屡见不鲜。今天发生 LZ 所述事件后,官方宣称这个问题已经差不多修复了,我看了看,确实有变化(至少原来 gsid 大多是 3_5 开头的,现在好像不是了),据我猜测应该是更换了计算方法并重新赋予了有效期。
不过,我想说的是,动动脑筋还是能有办法找到新的思路(具体步骤我当然不能明说)。这是我刚刚测试的效果(如下图):
成功登陆了一个陌生人的账号,发微博、看私信等简单操作都没问题。
这说明:问题没有完全解决。
新浪微博对于用户安全、用户隐私的考量可以说是消极且不够专业的,此问题若不根治,缝缝补补又一年。各位一定要注意保管好自己的手机登陆网址。
[1] http://www.wooyun.org/bugs/wooyun-2010-013146
【马里奥的回答(2票)】:
简单理解就是手机版网站由于兼容性问题使用加了一个特殊的参数的网址代替cookie认证来保持用户账号的登录状态,而既然是网址就可以在没有robots.txt限制的情况下被搜索引擎的爬虫爬到,被收录,最后被大家搜到,于是就杯具的露点了.
参考:
1.新浪微博gsid有效期过长,仅凭gsid可发布微博、关注用户、查看私信、修改头像等
【丁锐的回答(0票)】:
是怎样的漏洞,楼上技术大神回复的已经差不多了。
我就说一下,2009年年底,微博刚推出几个月的时候,甚至推出微博手机版的时候,新浪就知道这事。
http://t.sina.cn的年代,有一次给无线同事交流时,我给了他某条微博的手机版网址,他立马告诉我这个漏洞,但没有说为什么不修复。
技术不到位?一改就会牵动全身?
我不在技术部门不清楚他们怎么想的......
曾经用过小秘书多次提醒大家不要分享手机版网址。当时用户少,加之的确很少有人分享手机版网址,莫名其妙登陆了别人账号的用户也没人盗号。现在用户数量太多,这个问题慢慢暴露出了重要性。
【戴雨森的回答(0票)】:
之前老沉的账号也被这么搞过,当时新浪某哥们给我的回复是:没办法,他喜欢用feature phone。。。
其实这个问题不仅仅出现在新浪,也出现在国内很多用类似机制来处理wap版本用户登录session的社交网站,例如说人人网。而且针对这个问题,可以说是一直以来都没有得到很好的解决。
原文地址:知乎
联系客服