漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2011-12-02: 细节已通知厂商并且等待厂商处理中
2011-12-02: 厂商已经确认,细节仅向厂商公开
2011-12-12: 细节向核心白帽子及相关领域专家公开
2011-12-22: 细节向普通白帽子公开
2012-01-01: 细节向实习白帽子公开
2012-01-01: 细节向公众公开
简要描述:
新浪微博对未相互关注的用户有些资料显示的控制,通过这个漏洞可以轻松获取到用户信息
详细说明:
http://api.weibo.com/account/profile/basic.json 通过这个需要高级授权的接口可以获取到用户较为详细的信息,即使是没有相互关注的用户,如果个人信息里面设置的邮箱、QQ等信息就可以轻松获取到,比如新浪CEO的信息!因为这个接口需要高级授权的appkey所以还需要一个高级授权的appkey,这个appkey通过抓取新浪微博页面的http请求得到,新浪微博未读数通知接口,可以轻松拿到一个appkey,这个appkey肯定是高级授权的,否则无法支撑这么大的请求次数
漏洞证明:
未读数请求地址:http://rm.api.weibo.com/remind/unread_count.json?source=3818214747&target=api&user_id=1007343817&_pid=10001&count=1&callback=STK_132280897571793
获取用户资料请求地址:http://api.weibo.com/account/profile/basic.json?source=3818214747&uid=1007343817
修复方案:
修改未读数接口的参数请求方式,避免明文传递新浪微博的appkey
版权声明:转载请注明来源 高成@乌云
>
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2011-12-02 21:53
厂商回复:
非常感谢高成的分析,我们马上处理。
该接口能否获取用户的邮箱、QQ信息,取决于用户设置的可见范围,如果设置为“所有人可见”才可以获取到
最新状态:
暂无