新聞源 財富源

2024年12月20日 星期五

財經 > 産經 > 科技 > 正文

字號:  

新浪微網志連續曝重大漏洞 王思聰、雷軍被“登陸”

  • 發佈時間:2014-11-13 09:51:06  來源:中國網財經  作者:佚名  責任編輯:林海

  中國網財經11月13日訊(記者 甄鼎丞) 近日,新浪微網志連續曝出重大安全漏洞,漏洞可導致登陸任意新浪微網志用戶的賬戶,並獲取所有用戶許可權,實施操作。

  11月10日,烏雲網發佈漏洞“我是如何登錄任意新浪微網志用戶的(雷軍微網志演示)”,危害等級定為高。此漏洞也引起網路安全人士的熱議,而熱議的關鍵在於這是新浪微網志一週內第二次發生“被登陸”的高危安全漏洞。

  就在7天前,11月3日下午,烏雲網曾發佈漏洞“我是如何登錄任意新浪微網志用戶的(王思聰微網志演示)”,危害等級也定為高。在漏洞發佈頁面中,作者給出簡要描述:某漏洞shell --> 審核源碼 --> 調用內部介面獲取任意用戶gsid --> 利用某技巧使用gsid生成SUB認證cookie --> 登陸任意微網志用戶(所有許可權)。

  對於10月3日發佈的漏洞,新浪方面進行了確認,並在微網志中承諾“這個漏洞我們1小時以內就迅速修復”。而對於11月10日的發佈的漏洞,新浪方面未回應。

  隨後,中國網財經記者在烏雲網內部人士處得到證實,同時漏洞發現者已登陸“王思聰”。“雷軍”的微網志,並已截圖證明。

  同時,烏雲網相關負責人也從技術方面向中國網財經記者解釋:兩個漏洞“後半部分是差不多的”, 第一個漏洞做了修補的同時又打開了另一個漏洞,而連續出現漏洞的原因為“未徹底修復”。

  按烏雲網規定,45日後漏洞細節才可向大眾公佈,故前述人士未提供截圖。

  但更加重要的是:此類漏洞已存在多久?是否有用戶賬戶已經被盜?

  帶著這些問題,中國網財經記者多次聯繫新浪微網志負責人。但截至發稿前,均未收到回應。

  新浪微網志並非第一次出現涉及用戶賬戶的安全漏洞。此前,新浪微網志也出現過註冊郵箱資訊洩露和分站SQL注射等多次高危險級別漏洞。

熱圖一覽

高清圖集賞析

  • 股票名稱 最新價 漲跌幅