当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04110

漏洞标题:关于新浪微博的一些问题

相关厂商:新浪

漏洞作者: pestu

提交时间:2012-01-31 16:19

修复时间:2012-03-16 16:20

公开时间:2012-03-16 16:20

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-01-31: 细节已通知厂商并且等待厂商处理中
2012-02-01: 厂商已经确认,细节仅向厂商公开
2012-02-11: 细节向核心白帽子及相关领域专家公开
2012-02-21: 细节向普通白帽子公开
2012-03-02: 细节向实习白帽子公开
2012-03-16: 细节向公众公开

简要描述:

目前国内很多地方都部署有WLAN,比如机场、酒店、学校、营业场所、公共交通场所等,而且很多地方都是免费提供的,例如某些机场通过新浪微博帐号就可登录WLAN。新浪微博现在火,特别是成功人士都在用,在这些场所登录新浪微博,完全没有隐私可言,而且还有可能被人冒用身份发微博,发私信等。

详细说明:

在提交之前特意搜索了一下,henrys_dad 在很早之前(2011-07-31)就提交了新浪微博iphone客户端问题 WooYun: 新浪微博iphone客户端问题 而这个问题到2012年1月28日发布的新版iphone客户端才解决,在此之前都是明文传输密码的,厂商给出的漏洞Rank:3。也许大家看待这个漏洞的角度不同,但是在公共场合使用免费的wifi上新浪微博真的很不安全。在公共场合的wifi环境里,不管你是使用笔记本电脑通过http://www.weibo.com访问新浪微博,还是用手机在浏览器中打开新浪微博(http://www.weibo.cn),或者通过iphone客户端、Android客户端或ipad等访问,都有可能被session hijacking.表达能力不行,还是看图吧。

漏洞证明:

iPad登录:


密码明文传输。
有人会说,我在家里登录微博没有退出,不需要输入密码,iPad是通过cookie来验证客户端身份的,那就存在被session hijacking 的可能.


服务器返回的信息是xml格式的明文信息,ipad,iphone,android设备的客户端都一样。


既然已经做了客户端了,为什么不把这些信息加密呢?这让通过微博发私信约炮的同学情何以堪?
目前新浪微博网页版http://www.weibo.com登录中加密方法的复杂度已不低于腾讯,通过ARP攻击获取到密码字段是经过加密的,没有什么意义。但是通过session hijacking,依然可以做很多事情。
看图:


session hijacking成功例子:


图中用到的软件是DroidSheep ,正如软件作者所说的那样DroidSheep now supports nearly all Websites using Cookies!
有矛就有盾,DroidSheep的作者还开发了另外一款工具DroidSheep Guard用来检测网络中是否存在ARP攻击。
新浪微博手机版www.weibo.cn


这个不用多说了吧,人家已说明是使用明文密码传输。
再看看iphone或Android客户端,最新版的iphone或Android客户端密码已经加密了,没有使用cookie,无法进行session hijacking,那是否就安全了呢?当然不是,首先微博内容都是以xml格式明文传传输的,这个不多说。我们主要来看看如何arp来获取敏感信息并登录他人的微博。正常使用iphone客户端登录微博,服务器会返回以下信息:


有sid gsid uid nick等,其中nick是你的呢称,uid是您的唯一标识,如身份证id,而gsid是一个和您的密码有关的值,初步估计是用uid,您的密码等值通过某种算法得出来的。在您不修改密码的前提下,gsid是固定的,每次登录都一样。而且客户端向服务器提交的每一个请求都包话这个信息。通过分析发现,只需要知道uid和gsid就可能非法登录他人的微博进行任何操作(除了修改密码).具体操作是:在iphone上设置http代理(fiddler),正常登录微博,fiddler中断在Response,把服务器返回的uid和gsid修改成他人的uid和gsid后返回给iphone客户端,这时你会发现,你登录了他人的微博并能进行任何操作。至少如何获取他人的uid和gsid,看图:


通过cain在公共场所的wifi下,只有有人通过手机客户端访问微博,你不一会就会获得很多。Android客户端和iphone4的原理一样。
上面说了很多,不知道我有没有讲明白。总之公共场合的wifi环境访问新浪微博不安全

修复方案:

上面提到的问题,不是新浪一家公司能解决的,目前的WLAN环境就是这样,一般都没有防arp攻击。但是新浪可以对敏感信息进行加密传输,加强客户端的验证。

版权声明:转载请注明来源 pestu@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-02-01 10:00

厂商回复:

感谢pestu,您反应的问题属于MITM攻击大类,也是很多公司存在的普适问题。新浪安全已经有比较合适的方案解决此问题,但仍需时间测试和改进。

最新状态:

暂无


漏洞评价:

评论

  1. 2012-01-31 20:25 | 凤凰 ( 路人 | Rank:15 漏洞数:6 | 涅磐)

    是指传输吗?

  2. 2012-01-31 20:27 | pestu ( 普通白帽子 | Rank:170 漏洞数:13 | 关注计算机网络安全 lnmpa技术)

    主要是arp攻击

  3. 2012-02-01 08:24 | 路人乙 ( 普通白帽子 | Rank:147 漏洞数:29 | 中国移动不厚道,说给礼品也不给!)

    无线?,呵呵。协议明文了?

  4. 2012-02-01 11:04 | 神刀 ( 路人 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)

    又要安全又要响应快,难度大

  5. 2012-02-01 11:13 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    之前有人反馈过运营商的WLAN热点,可以随意的嗅探,被移动忽略了

  6. 2012-02-01 12:59 | QQ852451559 ( 实习白帽子 | Rank:79 漏洞数:18 | 学生党)

    这是个纠结的问题。

  7. 2012-03-16 16:49 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    漏洞关联:(1) WooYun: 移动CMCC热点上网,信息被嗅探及cookies劫持 (关联原因:wifi热点钓鱼)(2) WooYun: 陌陌明文提交注册信息明文传输 (关联原因:wifi热点钓鱼 )

  8. 2012-03-16 16:54 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    精华帖。

  9. 2012-06-05 23:07 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    牛。。 乡下来的我,还没用过WIFI热点。。。 T T..

  10. 2013-04-02 11:09 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @horseluke 请教,这个问题是归结到应用呢,还是无线网络本身,还是两者都有的?最近碰到这样一个类似的案例,解决方法就是完全从无线(网络)安全的角度来考虑这个问题是不是太片面了

  11. 2013-04-02 13:06 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @zzR 都有...从应用层面解决(即采取自定义加密手段,或者https)是比较快捷的,底层不能因为上层需求而变动...