微博上你点我发的链接我就可以登上你的微博(web版和app端均可两个漏洞一并提交)

漏洞概要

缺陷编号:WooYun-2015-0124352

漏洞标题:微博上你点我发的链接我就可以登上你的微博(web版和app端均可两个漏洞一并提交)

相关厂商:新浪

漏洞作者:呆子不开口

提交时间:2015-07-03 16:23

公开时间:2015-08-17 16:54

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-03: 细节已通知厂商并且等待厂商处理中
2015-07-03: 厂商已经确认,细节仅向厂商公开
2015-07-13: 细节向核心白帽子及相关领域专家公开
2015-07-23: 细节向普通白帽子公开
2015-08-02: 细节向实习白帽子公开
2015-08-17: 细节向公众公开

简要描述:

微博上你点我发的链接,我就可以登上你的微博,web版和app端均可,两个漏洞一并提交了

详细说明:

1、web版本的jsonp劫持漏洞:有jsonp劫持漏洞,未加token保护或referrer防护,导致登陆凭证可以被劫持盗取请求如下:

返回为:

里面的返回值alt可以用作登陆凭证,我扶了扶镜框,发现用如下URL可以登陆到目标用户的微博

里面的sub,subp值应该是认证的cookie值,应该也可以拿来利用2、微博app版的一些导致登陆凭证被盗的“小漏洞”当手机端访问如下请求时,系统会把当前sina.com.cn域下的ticket传给参数r中的url,r的值需要是weibo和新浪域

上面的请求会返回302跳转到参数r中的url值,而且会加上一个参数ticket

然后我们要做的就是拿到这个url中的参数ticket就可以了由于是新浪或微博域,不能受我们控制,所以我们可以找一个可以让我们自定义img或者iframe的新浪页面来偷我扶了扶镜框,发现了一个,是微博分享页面,里面的pic参数可以让我们自定义图片地址

这样从我们的自定义的图片请求的referrer中拿到这个ticket然后找一个能接受ticket的页面来帮我们种下sina.com.cn的认证cookie扶了扶镜框,发现一个

这个时候还不可以登陆微博,但我扶了扶镜框,发现访问如下url,可以帮我们成功登陆微博

这一系列的不合理设计的“小漏洞”,让我最终可以登陆进了别人的微博

漏洞证明:

我测试了几天,进了些TFboys粉丝的微博

修复方案:

1.jsonp那个,加token或referrer限制2.认证传输过程中,尽量不要使用get来传输凭证,很容易被各种方式偷去。你不能保证你的所有域都不往第三方发请求3.让偷到的ticket尽量不能在其他设备上登陆成功,对用户的一些信息进行签名

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-0316:52

厂商回复:

感谢关注新浪安全,安全问题修复中。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 90Snake 白帽子 | Rank:111 漏洞数:10)

    火钳刘明

  2. 2010-01-01 00:00 疯狗 白帽子 | Rank:22 漏洞数:2)

    呆子又扶眼镜框了

  3. 2010-01-01 00:00 niliu 白帽子 | Rank:1384 漏洞数:141)

    屌!

  4. 2010-01-01 00:00 fuzz-ing 白帽子 | Rank:75 漏洞数:8)

    留名关注

  5. 2010-01-01 00:00 secer 白帽子 | Rank:3 漏洞数:1)

    昨晚某哥已中枪

  6. 2010-01-01 00:00 90Snake 白帽子 | Rank:111 漏洞数:10)

    @呆子不开口 快去点草老公

  7. 2010-01-01 00:00 疯狗 白帽子 | Rank:22 漏洞数:2)

    @呆子不开口 因其中一个经典的漏洞给精华了,呆子教会了我应该如何耐心的分析业务也许,用心利用。

  8. 2010-01-01 00:00 咸鱼翻身 白帽子 | Rank:295 漏洞数:32)

    我去。。。。闪电侠

  9. 2010-01-01 00:00 浅蓝 白帽子 | Rank:131 漏洞数:20)

    留名

  10. 2010-01-01 00:00 loli 白帽子 | Rank:590 漏洞数:49)

    赶紧公开啊。

  11. 2010-01-01 00:00 Jumbo 白帽子 | Rank:52 漏洞数:5)

    有点吊

  12. 2010-01-01 00:00 xtnnd 白帽子 | Rank:105 漏洞数:10)

    好文艺

  13. 2010-01-01 00:00 大大灰狼 白帽子 | Rank:144 漏洞数:16)

    发个链接我看看

  14. 2010-01-01 00:00 cmyk 白帽子 | Rank:0 漏洞数:0)

    前排

  15. 2010-01-01 00:00 甲鱼 白帽子 | Rank:26 漏洞数:2)

    发个链接我看看

  16. 2010-01-01 00:00 进击的zjx 白帽子 | Rank:259 漏洞数:20)

    屌屌屌

  17. 2010-01-01 00:00 呆子不开口 白帽子 | Rank:246 漏洞数:30)

    @secer 什么意思,别人也有这个洞?

  18. 2010-01-01 00:00 Mieless 白帽子 | Rank:0 漏洞数:0)

    大屌

  19. 2010-01-01 00:00 Bear baby 白帽子 | Rank:174 漏洞数:14)

    偶像

  20. 2010-01-01 00:00 sutdy 白帽子 | Rank:0 漏洞数:0)

    请收下我的膝盖

  21. 2010-01-01 00:00 秋风 白帽子 | Rank:372 漏洞数:32)

    NB!

  22. 2010-01-01 00:00 子非海绵宝宝 白帽子 | Rank:1220 漏洞数:113)

    再一次?

  23. 2010-01-01 00:00 一只船北街 白帽子 | Rank:0 漏洞数:1)

    我以为回到了2014年...

  24. 2010-01-01 00:00 疯狂的dabing 白帽子 | Rank:27 漏洞数:3)

    伟哥又猥琐了。。。

  25. 2010-01-01 00:00 小龙 白帽子 | Rank:1634 漏洞数:152)

    不会又是二维码吧

  26. 2010-01-01 00:00 屎蛋 白帽子 | Rank:0 漏洞数:0)

    666

  27. 2010-01-01 00:00 niliu 白帽子 | Rank:1384 漏洞数:141)

    眼镜哪买的好屌

  28. 2010-01-01 00:00 鸟云厂商 白帽子 | Rank:1196 漏洞数:106)

    给我来个镜框扶一扶

  29. 2010-01-01 00:00 milan 白帽子 | Rank:73 漏洞数:8)

    牛逼

  30. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    现在的都那么牛,唉,跟不上时代了

  31. 2010-01-01 00:00 hkAssassin 白帽子 | Rank:295 漏洞数:28)

    我扶了扶镜框觉嘚你是我偶像!

  32. 2010-01-01 00:00 scanf 白帽子 | Rank:1161 漏洞数:100)

    最后眼镜框掉了没有

  33. 2010-01-01 00:00 Annabelle 白帽子 | Rank:28 漏洞数:3)

    我们家马桶堵了,谁知道掏粪男孩的电话?在线等,挺急的[doge]

  34. 2010-01-01 00:00 野驴~ 白帽子 | Rank:5 漏洞数:2)

    妈妈问我为什么跪着看乌云……

  35. 2010-01-01 00:00 刘海哥 白帽子 | Rank:110 漏洞数:12)

    眼镜我准备买了!