新浪微博的 GSID 洩露是什麼樣一個漏洞?怎麼被人發現的? | 知乎問答精選

 

A-A+

新浪微博的 GSID 洩露是什麼樣一個漏洞?怎麼被人發現的?

2017年12月17日 知乎問答精選 暫無評論 閱讀 29 ℃ 次

【飛黎的回答(25票)】:

這個漏洞的發現源於我在使用網頁版本的新浪微博。

在使用過程中,看到跳轉的鏈接中,包含了我自己的gsid。

然後我好奇的google了下「新浪 gsid」,

然後接著搜索「site:weibo.com gsid」就搜到了@蔣濤CSDN 的gsid。

目前到底是什麼洩露了gsid?

google一下,你就知道,答案是:新浪微盤!!!

稍微解釋下gsid:

新浪微博,有一個手機gsid的漏洞,就是可以從谷歌搜到用戶的gsid,然後用chrome或者pctowap訪問一個特定連接,就可以直接登錄用戶賬號並進行操作了。wap不支持保存cookie,就只能用gsid保存登錄狀態了,所以產生了這個漏洞,理論上來講,只要搞到某個人的gsid,他在24小時內登陸過,就可以隨意操作他的號了,超過24小時未登錄,gsid才失效,換個新的。

而蔣濤幾乎天天掛著微博,所以他的gsid自從被google收錄後,就再也沒過期過了。

所以我訪問:weibo.cn/ 這個網址就可以了,目前新浪已經修復了bug,之前是直接能看到如下界面的:

大家自己使用過wap,對這個頁面一定不陌生。這個功能由來已久,相信這個漏洞也存在很久了。

聯想到之前的大概8點20發事件和最近很多人反應微博莫名其妙的多了一個廣告帖。

我猜測這不是傳統的盜賬號密碼,而是盜了gsid。

剛才看到這篇知乎:新浪微博 的 GSID 是什麼?為什麼能被用來攻擊? ,更加確定了這個漏洞由來已久,被小人利用了太久了。。。

我能發微博,能看他關注的人,能評論轉發刪除微博,能看私信,所有的功能都可以。因為我就是用他的賬號在登錄!!!想想真後怕,不寒而慄啊!!!

【鄧棵的回答(8票)】:

微博手機版通過一種普遍的在 URL 中加入一個 gsid 參數的方法來解決保持用戶登錄狀態的問題(彌補 Wap 頁面無法使用 cookies 的不足),但是之前微博的對 gsid 的處理非常草率,甚至有可能是直接由 uid 等參數 hash 而成[1]。再加上用戶對於自己手機登陸網址的洩露、搜索引擎的爬蟲抓取等原因,在 Google、百度等網站上 gsid 已經氾濫成災,稍微會一點技術的人都可以通過搜索一定相關字段來找到這些 gsid,例如搜索:

site:m.weibo.cn gsid

google.com/#q=site:

目前仍然能找到上萬條搜索結果,均為 m.weibo.com 含有 gsid 的鏈接。

除此之外,gsid 還能通過 ARP 欺騙、Http Referer、手機客戶端的數據庫等多種方式獲取[1]。

此類包含 gsid 的網址很可能被用以登錄他人的賬號,達到操縱發微博等目的。

這個漏洞存在已久,微博長期以來對此是縫縫補補,但是仍然沒有徹底根治此問題。因此一年以來因 gsid 造成的賬號洩露問題屢見不鮮。今天發生 LZ 所述事件後,官方宣稱這個問題已經差不多修復了,我看了看,確實有變化(至少原來 gsid 大多是 3_5 開頭的,現在好像不是了),據我猜測應該是更換了計算方法並重新賦予了有效期。

不過,我想說的是,動動腦筋還是能有辦法找到新的思路(具體步驟我當然不能明說)。這是我剛剛測試的效果(如下圖):

成功登陸了一個陌生人的賬號,發微博、看私信等簡單操作都沒問題。

這說明:問題沒有完全解決

新浪微博對於用戶安全、用戶隱私的考量可以說是消極且不夠專業的,此問題若不根治,縫縫補補又一年。各位一定要注意保管好自己的手機登陸網址。

[1] wooyun.org/bugs

【馬裡奧的回答(2票)】:

簡單理解就是手機版網站由於兼容性問題使用加了一個特殊的參數的網址代替cookie認證來保持用戶帳號的登錄狀態,而既然是網址就可以在沒有robots.txt限制的情況下被搜索引擎的爬蟲爬到,被收錄,最後被大家搜到,於是就杯具的露點了.

參考:

1.新浪微博gsid有效期過長,僅憑gsid可發佈微博、關注用戶、查看私信、修改頭像等

2.各主流網站手機版登陸及認證保持分析

【丁銳的回答(0票)】:

是怎樣的漏洞,樓上技術大神回復的已經差不多了。

我就說一下,2009年年底,微博剛推出幾個月的時候,甚至推出微博手機版的時候,新浪就知道這事。

t.sina.cn的年代,有一次給無線同事交流時,我給了他某條微博的手機版網址,他立馬告訴我這個漏洞,但沒有說為什麼不修復。

技術不到位?一改就會牽動全身?

我不在技術部門不清楚他們怎麼想的......

曾經用過小秘書多次提醒大家不要分享手機版網址。當時用戶少,加之的確很少有人分享手機版網址,莫名其妙登陸了別人賬號的用戶也沒人盜號。現在用戶數量太多,這個問題慢慢暴露出了重要性。

【戴雨森的回答(0票)】:

之前老沉的賬號也被這麼搞過,當時新浪某哥們給我的回復是:沒辦法,他喜歡用feature phone。。。

其實這個問題不僅僅出現在新浪,也出現在國內很多用類似機制來處理wap版本用戶登錄session的社交網站,例如說人人網。而且針對這個問題,可以說是一直以來都沒有得到很好的解決。

標籤:-網絡安全 -生存指南


相關資源:





給我留言