新闻源 财富源

2024年03月29日 星期五

财经 > 产经 > 科技 > 正文

字号:  

新浪微博连续曝重大漏洞 王思聪、雷军被“登陆”

  • 发布时间:2014-11-13 09:51:06  来源:中国网财经  作者:佚名  责任编辑:林海

  中国网财经11月13日讯(记者 甄鼎丞) 近日,新浪微博连续曝出重大安全漏洞,漏洞可导致登陆任意新浪微博用户的账户,并获取所有用户权限,实施操作。

  11月10日,乌云网发布漏洞“我是如何登录任意新浪微博用户的(雷军微博演示)”,危害等级定为高。此漏洞也引起网络安全人士的热议,而热议的关键在于这是新浪微博一周内第二次发生“被登陆”的高危安全漏洞。

  就在7天前,11月3日下午,乌云网曾发布漏洞“我是如何登录任意新浪微博用户的(王思聪微博演示)”,危害等级也定为高。在漏洞发布页面中,作者给出简要描述:某漏洞shell --> 审核源码 --> 调用内部接口获取任意用户gsid --> 利用某技巧使用gsid生成SUB认证cookie --> 登陆任意微博用户(所有权限)。

  对于10月3日发布的漏洞,新浪方面进行了确认,并在微博中承诺“这个漏洞我们1小时以内就迅速修复”。而对于11月10日的发布的漏洞,新浪方面未回应。

  随后,中国网财经记者在乌云网内部人士处得到证实,同时漏洞发现者已登陆“王思聪”。“雷军”的微博,并已截图证明。

  同时,乌云网相关负责人也从技术方面向中国网财经记者解释:两个漏洞“后半部分是差不多的”, 第一个漏洞做了修补的同时又打开了另一个漏洞,而连续出现漏洞的原因为“未彻底修复”。

  按乌云网规定,45日后漏洞细节才可向大众公布,故前述人士未提供截图。

  但更加重要的是:此类漏洞已存在多久?是否有用户账户已经被盗?

  带着这些问题,中国网财经记者多次联系新浪微博负责人。但截至发稿前,均未收到回应。

  新浪微博并非第一次出现涉及用户账户的安全漏洞。此前,新浪微博也出现过注册邮箱信息泄露和分站SQL注射等多次高危险级别漏洞。

热图一览

高清图集赏析

  • 股票名称 最新价 涨跌幅