如何通过微博在他人不知情的情况下获取其真实姓名(可批量获取)

漏洞概要

缺陷编号:WooYun-2014-089519

漏洞标题:如何通过微博在他人不知情的情况下获取其真实姓名(可批量获取)

相关厂商:新浪微博

漏洞作者:肉肉

提交时间:2014-12-31 16:26

公开时间:2015-02-14 16:28

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-12-31: 细节已通知厂商并且等待厂商处理中
2015-01-01: 厂商已经确认,细节仅向厂商公开
2015-01-11: 细节向核心白帽子及相关领域专家公开
2015-01-21: 细节向普通白帽子公开
2015-01-31: 细节向实习白帽子公开
2015-02-14: 细节向公众公开

简要描述:

其实我在微博上也说了这个问题,但是被告知任性的产品经理觉得这是业务特性,真的好任性啊有没有,特性就是我玩个微博真实姓名就被泄露了吗?而且不是我自己提交的呀!!!你不经过我同意搜集我的信息也就罢了,你还展示出来,这么任性不怕挨打吗亲。
没啥技术含量,但是感觉危害挺大,小伙伴写代码也挺辛苦,就要个8rank吧,忽略也无所谓

详细说明:

发现这个问题很偶然,就是关注别人的时候,当达到一定条件(我觉得这种条件就是有一定量的共同关注,并不需要互相关注,这个一定量也不大。)就会自动显示别人给被关注者的备注(大部分时候是真名呀喂)

(因为flashsky的名字是公开的信息了所以就拿他做演示了)后来有发现,我也不需要关注别人了,只要别人关注我我也能看到

这位同学对不起了啊其实也不是全部都是真实姓名,但是爬了一下,发现爬出真实姓名的概率特别大呀。这里是是程序

谢谢帮我写代码的小伙伴,元旦请你女票吃蛋糕去(*^__^*)

漏洞证明:

还有那个程序扫出来的结果我直接给piaca啦,就不帖这里了,感觉不大好,扫出来结果是基本上都有真实姓名的。如果那个产品经理还那么任性觉得这不是问题你们的名字被人扫出来了不要打我,去打他,我给你们说他是谁。

修复方案:

我也不知道怎么修,就是加强限制吧,或者给个开关让我自己来觉得是否要显示

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-01-0120:19

厂商回复:

感谢关注新浪安全,此问题正在修复中。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 夏殇 白帽子 | Rank:15 漏洞数:3)

    前排?目测要火?

  2. 2010-01-01 00:00 茜茜公主 白帽子 | Rank:899 漏洞数:85)

    真的好任性

  3. 2010-01-01 00:00 爱上平顶山 白帽子 | Rank:2224 漏洞数:244)

    ........

  4. 2010-01-01 00:00 Mr.leo 白帽子 | Rank:932 漏洞数:80)

    肉总要火

  5. 2010-01-01 00:00 岩少 白帽子 | Rank:139 漏洞数:10)

    前排花生 瓜子。

  6. 2010-01-01 00:00 Medea 白帽子 | Rank:25 漏洞数:2)

    肉肉就是任性--.

  7. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    肉肉是来打卡的

  8. 2010-01-01 00:00 zph 白帽子 | Rank:156 漏洞数:19)

    顶肉肉

  9. 2010-01-01 00:00 肉肉 白帽子 | Rank:91 漏洞数:10)

    @浩天 我还活着

  10. 2010-01-01 00:00 浮萍 白帽子 | Rank:326 漏洞数:33)

    吃了任性辣条
    就是这么任性

  11. 2010-01-01 00:00 chock 白帽子 | Rank:114 漏洞数:13)

    挺肉肉

  12. 2010-01-01 00:00 小威 白帽子 | Rank:380 漏洞数:43)

    肉肉牌辣条,吃了就是任性!

  13. 2010-01-01 00:00 咸鱼翻身 白帽子 | Rank:295 漏洞数:32)

    好任性

  14. 2010-01-01 00:00 Coffee 白帽子 | Rank:130 漏洞数:9)

    肉肉v5

  15. 2010-01-01 00:00 命途多舛 白帽子 | Rank:15 漏洞数:3)

    我是来看新浪妹子怎么处理的。

  16. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    这个肉肉是那个肉肉吗?

  17. 2010-01-01 00:00 码农 白帽子 | Rank:0 漏洞数:0)

    肉肉嫁我~

  18. 2010-01-01 00:00 无敌L.t.H 白帽子 | Rank:21 漏洞数:4)

    肉肉有洞就是任性

  19. 2010-01-01 00:00 l137 白帽子 | Rank:23 漏洞数:3)

    肉肉有洞就是任性

  20. 2010-01-01 00:00 肉肉 白帽子 | Rank:91 漏洞数:10)

    @wefgod 哪个肉肉?

  21. 2010-01-01 00:00 泳少 白帽子 | Rank:158 漏洞数:20)

    肉肉再次调皮

  22. 2010-01-01 00:00 小火苗 白帽子 | Rank:6 漏洞数:1)

    他跟你什么仇什么怨?

  23. 2010-01-01 00:00 从容 白帽子 | Rank:153 漏洞数:21)

    吾皇万岁万岁万万岁,@新浪微博 8rank都不给的话,好坏好坏的!!!

  24. 2010-01-01 00:00 肉肉 白帽子 | Rank:91 漏洞数:10)

    @码农 核心白帽子都不是,不嫁

  25. 2010-01-01 00:00 erevus 白帽子 | Rank:181 漏洞数:25)

    健哥就是任性

  26. 2010-01-01 00:00 roker 白帽子 | Rank:138 漏洞数:14)

    吾皇万岁万岁万万岁,@新浪微博 8rank都不给的话,好坏好坏的!!!

  27. 2010-01-01 00:00 从容 白帽子 | Rank:153 漏洞数:21)

    @肉肉 那爱妃也不是核心,能娶么......

  28. 2010-01-01 00:00 cf_hb 白帽子 | Rank:89 漏洞数:8)

    女神厉害!

  29. 2010-01-01 00:00 lucky 白帽子 | Rank:316 漏洞数:40)

    女神厉害!

  30. 2010-01-01 00:00 1c3z 白帽子 | Rank:190 漏洞数:21)

    打卡

  31. 2010-01-01 00:00 雅柏菲卡 白帽子 | Rank:661 漏洞数:63)

    @肉肉 强势关注

  32. 2010-01-01 00:00 魂淡、 白帽子 | Rank:16 漏洞数:1)

    就是写个脚本跑微博名字么

  33. 2010-01-01 00:00 海绵宝宝 白帽子 | Rank:257 漏洞数:37)

    新浪 OUT

  34. 2010-01-01 00:00 T0ne5 白帽子 | Rank:0 漏洞数:0)

    Hello World,来WooYun第一天。

  35. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    跨年漏洞演出。

  36. 2010-01-01 00:00 你大爷在此 百无禁忌 白帽子 | Rank:0 漏洞数:0)

    女神 跨年 也挖洞啊

  37. 2010-01-01 00:00 s3xy 白帽子 | Rank:698 漏洞数:62)

    跨年漏洞

  38. 2010-01-01 00:00 东方不败 白帽子 | Rank:411 漏洞数:40)

    肉肉姐你太任性了。

  39. 2010-01-01 00:00 ′雨。 白帽子 | Rank:1086 漏洞数:88)

    求帮跑跑 王思聪微博 看看老公真实姓名叫啥。

  40. 2010-01-01 00:00 ’‘Nome 白帽子 | Rank:57 漏洞数:7)

    请给8rank,肉姐任性小心被拉黑。

  41. 2010-01-01 00:00 狗狗侠 白帽子 | Rank:0 漏洞数:0)

    别给肉肉打码,让他露

  42. 2010-01-01 00:00 围剿 白帽子 | Rank:5 漏洞数:2)

    我是来支持肉肉的

  43. 2010-01-01 00:00 MuZhU0 白帽子 | Rank:0 漏洞数:1)

    肉肉女神!!!!!狂拽炫酷叼炸新浪!!!

  44. 2010-01-01 00:00 niliu 白帽子 | Rank:1384 漏洞数:141)

    我来顶肉肉

  45. 2010-01-01 00:00 肉肉 白帽子 | Rank:91 漏洞数:10)

    诶,确认了,是要修复的意思咩

  46. 2010-01-01 00:00 残废 白帽子 | Rank:163 漏洞数:19)

    肉肉打他

  47. 2010-01-01 00:00 孤独雪狼 白帽子 | Rank:240 漏洞数:38)

    @肉肉 渣浪这是自己打自己的脸

  48. 2010-01-01 00:00 zph 白帽子 | Rank:156 漏洞数:19)

    渣浪还是渣浪

  49. 2010-01-01 00:00 曾亦信 白帽子 | Rank:0 漏洞数:0)

    你该要10 就给你8了

  50. 2010-01-01 00:00 Mr丶Mario 白帽子 | Rank:21 漏洞数:3)

    100块都不给我

  51. 2010-01-01 00:00 hkAssassin 白帽子 | Rank:295 漏洞数:28)

    8rank都不给我!真抠!

  52. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @肉肉 拍写真的那个……

  53. 2010-01-01 00:00 肉肉 白帽子 | Rank:91 漏洞数:10)

    @wefgod 我没拍过写真诶

  54. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @肉肉 发写真的哈哈可以没

  55. 2010-01-01 00:00 码农 白帽子 | Rank:0 漏洞数:0)

    @肉肉 好吧 等我核心!!!!

  56. 2010-01-01 00:00 233 白帽子 | Rank:11 漏洞数:2)

    肉肉V5

  57. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    居然写程序了

  58. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)

    qq这个玩意更明显。。

  59. 2010-01-01 00:00 philipjones 白帽子 | Rank:0 漏洞数:0)

    3乌比,算了,还是等我再努力一把。。。

  60. 2010-01-01 00:00 Smilent 白帽子 | Rank:36 漏洞数:3)

    肉肉写得一手好代码

  61. 2010-01-01 00:00 Mosuan 白帽子 | Rank:140 漏洞数:22)

    @肉肉 你的个性签名怎么跟我的网名一样

  62. 2010-01-01 00:00 Arthur 白帽子 | Rank:17 漏洞数:5)

    最后那个莫非是王凯轮!!伟大的Helen?!

  63. 2010-01-01 00:00 明月影 白帽子 | Rank:0 漏洞数:1)

    其实很多人待在乌云是因为肉肉。

  64. 2010-01-01 00:00 魂淡、 白帽子 | Rank:16 漏洞数:1)

    觉得这个就只是服务特性,算不上漏洞

  65. 2010-01-01 00:00 ’‘Nome 白帽子 | Rank:57 漏洞数:7)

    肉肉姐,,,其实这个问题还是没修复。。。。。

  66. 2010-01-01 00:00 M4sk 白帽子 | Rank:783 漏洞数:96)

    最后那个莫非是王凯轮!!

  • N/A