当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020495

漏洞标题:绕过新浪微博实名制注册

相关厂商:新浪微博

漏洞作者: noah

提交时间:2013-03-22 19:28

修复时间:2013-03-25 17:25

公开时间:2013-03-25 17:25

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-03-22: 细节已通知厂商并且等待厂商处理中
2013-03-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

今天微博上看到为了不输入身份证选择翻墙注册海外用户,或者使用别人的身份证去注册神马的,貌似证件号码是新浪微博找回密码的重要凭证,存在一定的安全隐患,下面的方式可以完全绕过新浪微博的实名注册机制...

详细说明:

事件起因

QQ截图20130322185047.png


绕过的过程,不要使用网页注册,直接使用新浪微博手机客户端(iphone版,安卓没测试,应该也一样)

IMG_0140.PNG


选择邮箱注册,(其实手机注册也是可以的,注册的时候用移动、联通未实名制的手机号)

IMG_0141.PNG


IMG_0143.PNG


登录邮箱激活

QQ截图20130322185153.png


QQ截图20130322185206.png


用未实名制的手机号发条激活短信,貌似一个手机可以绑定多个账号,后面也是可以取消绑定的

QQ截图20130322185250.png


注册成功了

IMG_0146.PNG


IMG_0147.PNG


注册成功后他会自动绑定刚刚你发短信的手机号,直接取消绑定就好了

QQ截图20130322190333.png


QQ截图20130322190400.png

漏洞证明:

QQ截图20130322190425.png

修复方案:

刷rank....

版权声明:转载请注明来源 noah@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-25 17:25

厂商回复:

无影响。

漏洞Rank:3 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-03-22 19:33 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark

  2. 2013-03-22 21:01 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    。。。这个直接百度搜索一个假身份证就行了呗。。

  3. 2013-03-22 21:51 | noah ( 普通白帽子 | Rank:384 漏洞数:40 )

    @px1624 某天微博被盗,邮箱、手机被更改,当你想通过人工申诉来找回密码时会发现自己不记得填了什么身份证...

  4. 2013-03-22 23:03 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @noah 。。。微博和qq是绑定的诶。。。用的是 密保 手机 申诉就可以了

  5. 2013-03-22 23:06 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    选择海外用户 不需要!

  6. 2013-03-22 23:42 | noah ( 普通白帽子 | Rank:384 漏洞数:40 )

    可能我的思路有点问题哈

  7. 2013-03-23 08:34 | puzzor ( 路人 | Rank:25 漏洞数:3 | 一起puzz)

    这个。。。哈哈哈。