这是一个创建于 5241 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://login.sina.com.cn/sso/login.php?service=miniblog&entry=winweibo&returntype=HEADER&gateway&useticket=1&url=http%3A%2F%2Fapi.t.sina.com.cn%2F1644737*********************************************jVHuUngz%252FEqA6yc1yJZOzRhCqaqetaXJX2kmWD4iJw%252B02iDhF%252FDMy8%253D%26v%3D1
(出于安全考虑略去部分,虽然我还不知道这样略去是否足够安全...)
新浪居然把session转码存在链接里,这样一来任何获得这条链接的人都可以随时随地登陆微博帐号,经测试更换密码依然有效...我无语了,这个BUG低级又恐怖
(出于安全考虑略去部分,虽然我还不知道这样略去是否足够安全...)
新浪居然把session转码存在链接里,这样一来任何获得这条链接的人都可以随时随地登陆微博帐号,经测试更换密码依然有效...我无语了,这个BUG低级又恐怖
 |
1
Leo OP 后来邪恶的想到,去MM电脑获取这个链接,然后....
|
 |
2
aligo 2011-06-25 17:25:31 +08:00
url token吧
不过一般这东西一般是访问一次之后就生成一个新的,然后30秒就过期什么的 |
 |
4
CoX 2011-06-25 17:49:31 +08:00
确实是 token 问题~~而且是一直有效的,这个token是weibo应用开发的关键,但是存在链接里确实是不安全啊。
|
 |
5
manhere 2011-06-25 17:50:46 +08:00
关键是如何去获取别人的这个链接?如果有机会抓包的话,有没有这个链接似乎区别不大,但更换密码仍有效确实很恐怖。
|
 |
7
reus 2011-06-25 18:01:03 +08:00
因为有手机浏览器不支持cookie的,所以只能把session key存在url里面了… 算不上bug吧,只是无奈的折衷而已,开发者都知道这回事的。而且登录页面也提示不要将url泄漏给别人的…
|
|
8
Leo OP |
 |
9
MC 2011-06-25 19:01:31 +08:00 via iPad
人人好也像是这样的
|
 |
10
xinzhi 2011-06-25 20:31:17 +08:00
腾讯也是这样的。手机版大都这样,收藏链接就能自动登录,最多提示各验证码。
|
 |
11
xlaok 2011-06-25 22:08:21 +08:00
做了一个自己的导航站,就是用的这个url来免登录的~
如果没有这个url的话,用php能不能解决这个问题啊?就是在任何电脑上,点一个连接就自动登录,具体的思路是什么啊 |
Select Language