当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011649

漏洞标题:新浪微博绕过限制认证用户发送微博回复

相关厂商:新浪

漏洞作者: seclab_zju

提交时间:2012-09-02 12:09

修复时间:2012-09-06 14:51

公开时间:2012-09-06 14:51

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-02: 细节已通知厂商并且等待厂商处理中
2012-09-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

新浪微博为防spam,要求新注册用户都需要手机认证后才可以回复他人微博,但可以在未认证的情况下回复微博。

详细说明:

最近老是受到很多机器人spam的骚扰,给添加很多无关回复在关注的主题下,我搜索了一下,这样的机器人发帖量很大,而且经常被当作真人,被微博用户回复:


记得之前看新闻说,新浪要求用户要绑定身份证和手机才可以发言了的,于是想验证下机器人是怎么注册和发言的。
首先,注册的时候可以使用国外IP地址,如通过goagent,可以不需要提供身份证号,只要一个Email即可:


这样注册得到的用户可以发新微博,但是不可以评论别人的微博(见下图,点评论键会跳出提示,要求绑定手机,并且评论输入不会显示)。我们可以试试用程序post到http://weibo.com/zt/aj/comment/add页面:

userdata = {'act':'post','mid':'3485496188039925','forward':'0','isroot':'0','content':'I still managed to post in here!!','_t':'0'}
request = urllib2.Request("http://weibo.com/zt/aj/comment/add?_rnd=REPLACE_WITH_UNIX_TIMESTAMP")
opener.open(request,urllib.urlencode(userdata),5)


可以成功发送,服务器接受评论:


漏洞证明:

见上

修复方案:

服务器端验证用户身份

版权声明:转载请注明来源 seclab_zju@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-09-06 14:51

厂商回复:

添加对漏洞的补充说明以及做出评价的理由

最新状态:

暂无

漏洞评价:

评论

  1. 2012-09-06 15:15 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    ............

  2. 2012-09-06 16:36 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    新浪想骂人了:哥做个weibo容易嘛 ....