新浪微網志連續曝重大漏洞 王思聰、雷軍被“登陸”
- 發佈時間:2014-11-13 09:51:06 來源:中國網財經 責任編輯:林海
中國網財經11月13日訊(記者 甄鼎丞) 近日,新浪微網志連續曝出重大安全漏洞,漏洞可導致登陸任意新浪微網志用戶的賬戶,並獲取所有用戶許可權,實施操作。
11月10日,烏雲網發佈漏洞“我是如何登錄任意新浪微網志用戶的(雷軍微網志演示)”,危害等級定為高。此漏洞也引起網路安全人士的熱議,而熱議的關鍵在於這是新浪微網志一週內第二次發生“被登陸”的高危安全漏洞。
就在7天前,11月3日下午,烏雲網曾發佈漏洞“我是如何登錄任意新浪微網志用戶的(王思聰微網志演示)”,危害等級也定為高。在漏洞發佈頁面中,作者給出簡要描述:某漏洞shell --> 審核源碼 --> 調用內部介面獲取任意用戶gsid --> 利用某技巧使用gsid生成SUB認證cookie --> 登陸任意微網志用戶(所有許可權)。
對於10月3日發佈的漏洞,新浪方面進行了確認,並在微網志中承諾“這個漏洞我們1小時以內就迅速修復”。而對於11月10日的發佈的漏洞,新浪方面未回應。
隨後,中國網財經記者在烏雲網內部人士處得到證實,同時漏洞發現者已登陸“王思聰”。“雷軍”的微網志,並已截圖證明。
同時,烏雲網相關負責人也從技術方面向中國網財經記者解釋:兩個漏洞“後半部分是差不多的”, 第一個漏洞做了修補的同時又打開了另一個漏洞,而連續出現漏洞的原因為“未徹底修復”。
按烏雲網規定,45日後漏洞細節才可向大眾公佈,故前述人士未提供截圖。
但更加重要的是:此類漏洞已存在多久?是否有用戶賬戶已經被盜?
帶著這些問題,中國網財經記者多次聯繫新浪微網志負責人。但截至發稿前,均未收到回應。
新浪微網志並非第一次出現涉及用戶賬戶的安全漏洞。此前,新浪微網志也出現過註冊郵箱資訊洩露和分站SQL注射等多次高危險級別漏洞。
