透过[新浪微博]官方来源调用API发表微博.无需client_sec

漏洞概要

缺陷编号:WooYun-2012-011314

漏洞标题:透过[新浪微博]官方来源调用API发表微博.无需client_sec

相关厂商:新浪微博

漏洞作者:Tater

提交时间:2012-08-27 18:41

公开时间:2012-10-11 18:42

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-08-27: 细节已通知厂商并且等待厂商处理中
2012-08-28: 厂商已经确认,细节仅向厂商公开
2012-09-07: 细节向核心白帽子及相关领域专家公开
2012-09-17: 细节向普通白帽子公开
2012-09-27: 细节向实习白帽子公开
2012-10-11: 细节向公众公开

简要描述:

透过[新浪微博]官方来源调用API发表微博.无需client_sec

详细说明:

详细信息可查看作者博客:http://www.lijingquan.net/sina-zz-api-call.html (谢谢,带点流量行么?)主站权限足够高,你说能干嘛呢?首先在捕捉的时候你必须有工具,比如这个地址:

我们就能猜得出来这是个APPKEY...但是我们并没有APPSEC啊!没关系,点击

再使用控制台查看源码,注意,请使用控制台,不然可能导致页面刷新。

另外,爆出一些新浪内部接口:

漏洞证明:

修复方案:

主站隐藏API?如果说改掉授权方式那对开发者太坑爹了.

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-08-28 10:38

厂商回复:

感谢对新浪微博的支持,我们会尽快修复漏洞。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    洞主激动了......4180478377这个appkey是我的,不是神马内部接口,也没啥高权限可言,不知道你咋判断的......

  2. 2010-01-01 00:00 大和尚 白帽子 | Rank:49 漏洞数:5)

    @horseluke 你在新浪工作啊。

  3. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @大和尚 yeah~

  4. 2010-01-01 00:00 Tater 白帽子 | Rank:10 漏洞数:2)

    @horseluke 文案做判断

  5. 2010-01-01 00:00 Tater 白帽子 | Rank:10 漏洞数:2)

    有兴趣的可以看看keytest.ilijingquan.cn做测试.

  6. 2010-01-01 00:00 LeadUrLife 白帽子 | Rank:74 漏洞数:11)

    沙发 亮了。。