当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03498

漏洞标题:新浪微博可能导致用户信息泄露的BUG

相关厂商:新浪

漏洞作者: 高成

提交时间:2011-12-02 15:23

修复时间:2012-01-01 15:24

公开时间:2012-01-01 15:24

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-12-02: 细节已通知厂商并且等待厂商处理中
2011-12-02: 厂商已经确认,细节仅向厂商公开
2011-12-12: 细节向核心白帽子及相关领域专家公开
2011-12-22: 细节向普通白帽子公开
2012-01-01: 细节向实习白帽子公开
2012-01-01: 细节向公众公开

简要描述:

新浪微博对未相互关注的用户有些资料显示的控制,通过这个漏洞可以轻松获取到用户信息

详细说明:

http://api.weibo.com/account/profile/basic.json 通过这个需要高级授权的接口可以获取到用户较为详细的信息,即使是没有相互关注的用户,如果个人信息里面设置的邮箱、QQ等信息就可以轻松获取到,比如新浪CEO的信息!因为这个接口需要高级授权的appkey所以还需要一个高级授权的appkey,这个appkey通过抓取新浪微博页面的http请求得到,新浪微博未读数通知接口,可以轻松拿到一个appkey,这个appkey肯定是高级授权的,否则无法支撑这么大的请求次数

漏洞证明:

未读数请求地址:http://rm.api.weibo.com/remind/unread_count.json?source=3818214747&target=api&user_id=1007343817&_pid=10001&count=1&callback=STK_132280897571793
获取用户资料请求地址:http://api.weibo.com/account/profile/basic.json?source=3818214747&uid=1007343817

修复方案:

修改未读数接口的参数请求方式,避免明文传递新浪微博的appkey

版权声明:转载请注明来源 高成@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2011-12-02 21:53

厂商回复:

非常感谢高成的分析,我们马上处理。
该接口能否获取用户的邮箱、QQ信息,取决于用户设置的可见范围,如果设置为“所有人可见”才可以获取到

最新状态:

暂无


漏洞评价:

评论

  1. 2012-07-20 20:02 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    半年之后,这个appkey又发神威了......-_-||