新浪微博连续曝重大漏洞 王思聪、雷军被“登陆”

中国网财经11月13日讯(记者 甄鼎丞) 近日，新浪微博连续曝出重大安全漏洞，漏洞可导致登陆任意新浪微博用户的账户，并获取所有用户权限，实施操作。

11月10日，乌云网发布漏洞“我是如何登录任意新浪微博用户的(雷军微博演示)”，危害等级定为高。此漏洞也引起网络安全人士的热议，而热议的关键在于这是新浪微博一周内第二次发生“被登陆”的高危安全漏洞。

就在7天前，11月3日下午，乌云网曾发布漏洞“我是如何登录任意新浪微博用户的(王思聪微博演示)”，危害等级也定为高。在漏洞发布页面中，作者给出简要描述：某漏洞shell –> 审核源码 –> 调用内部接口获取任意用户gsid –> 利用某技巧使用gsid生成SUB认证cookie –> 登陆任意微博用户(所有权限)。

对于10月3日发布的漏洞，新浪方面进行了确认，并在微博中承诺“这个漏洞我们1小时以内就迅速修复”。而对于11月10日的发布的漏洞，新浪方面未回应。

随后，中国网财经记者在乌云网内部人士处得到证实，同时漏洞发现者已登陆“王思聪”。“雷军”的微博，并已截图证明。

同时，乌云网相关负责人也从技术方面向中国网财经记者解释：两个漏洞“后半部分是差不多的”， 第一个漏洞做了修补的同时又打开了另一个漏洞，而连续出现漏洞的原因为“未彻底修复”。

按乌云网规定，45日后漏洞细节才可向大众公布，故前述人士未提供截图。

但更加重要的是：此类漏洞已存在多久？是否有用户账户已经被盗？

带着这些问题，中国网财经记者多次联系新浪微博负责人。但截至发稿前，均未收到回应。

新浪微博并非第一次出现涉及用户账户的安全漏洞。此前，新浪微博也出现过注册邮箱信息泄露和分站SQL注射等多次高危险级别漏洞。

转自