漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新浪微博安全漏洞,导致微博帐号被轻易盗用
相关厂商:新浪
提交时间:2012-11-10 15:04
修复时间:2012-12-25 15:05
公开时间:2012-12-25 15:05
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2012-11-10: 细节已通知厂商并且等待厂商处理中
2012-11-10: 厂商已经确认,细节仅向厂商公开
2012-11-20: 细节向核心白帽子及相关领域专家公开
2012-11-30: 细节向普通白帽子公开
2012-12-10: 细节向实习白帽子公开
2012-12-25: 细节向公众公开
简要描述:
新浪微博api检查不完善导致可以利用用户的微博帐号发微博等。
详细说明:
新浪微博weibo js api,jssdk2 的appkey没有没有进行必要的验证,导致没有授权也可以利用其微博发微博等。
漏洞证明:
新浪微博再爆重大安全漏洞,可能导致微博帐号被轻易盗用,赶紧看看你的帐号!http://t.cn/zjPrX6a
你懂的。。
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-11-10 15:50
厂商回复:
感谢对新浪安全的支持
最新状态:
暂无
漏洞评价:
评论
-
2012-11-10 15:40 |
风萧萧 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)
-
2012-12-25 16:47 |
El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)
http://steel1990.github.com/weibo/我打开了,是不是中招了
-
2012-12-25 16:49 |
El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)
我有总想举报这个pid mm_12338453_0_0的冲动