V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
icyflash
V2EX  ›  信息安全

新浪微博用户密码泄露漏洞

  •  
  •   icyflash · 2012-01-04 23:24:08 +08:00 · 6320 次点击
    这是一个创建于 4742 天前的主题,其中的信息可能已经有所发展或是发生改变。
    26 条回复    1970-01-01 08:00:00 +08:00
    9hills
        1
    9hills  
       2012-01-04 23:29:03 +08:00
    又是明文密码。。
    sarices
        2
    sarices  
       2012-01-04 23:32:20 +08:00
    502了
    Hyperion
        3
    Hyperion  
       2012-01-04 23:32:20 +08:00
    存密文对得起用户, 存明文对得起[哔]. /摊手
    haohaolee
        4
    haohaolee  
       2012-01-04 23:37:20 +08:00
    呵呵,上次谁还出来背书说新浪不是明文。看来对付这些国内的站就要和对付蒙牛一样
    vincent1q84
        5
    vincent1q84  
       2012-01-04 23:42:31 +08:00
    该死的新浪还不能注销…又不想通过发敏感词的方式“被注销”…
    xdata
        6
    xdata  
       2012-01-04 23:50:11 +08:00
    502..

    Google搜下还是能找到其他地方缓存的页面...
    VYSE
        7
    VYSE  
       2012-01-05 00:00:10 +08:00
    已经恢复了,数据库叫whatis,不知道怎么暴出来的
    Mutoo
        8
    Mutoo  
       2012-01-05 00:02:03 +08:00
    @VYSE sql注入啊,构造个联合查询就出来了……
    flyingnn
        9
    flyingnn  
       2012-01-05 00:04:25 +08:00
    大公司都这么不可信,没信用没良心.
    underone
        10
    underone  
       2012-01-05 00:06:45 +08:00
    新浪微博也是明文?嚓。。。
    VYSE
        11
    VYSE  
       2012-01-05 00:15:04 +08:00
    @Mutoo 要查询系统表才能列数据库吧,但这个权限不应该有的啊
    Mutoo
        12
    Mutoo  
       2012-01-05 00:28:12 +08:00
    @VYSE 用户提交的数据没有经过过滤就直接放入sql字段进行SQL查询,系统会毫无保留地返回结果的。你可以google一下SQL注入,很容易上手的,我初二的时候就会这招了……一般只有小网站才会出这种错,没想到新浪也……
    frittle
        13
    frittle  
       2012-01-05 00:28:31 +08:00
    真烦,国内到底有有没有大网站不是明文密码的=_=|| qq的密码和新浪微博一样限制16个字,我都怀疑qq数据库里的也是明文密码了。
    aveline
        14
    aveline  
       2012-01-05 00:31:41 +08:00
    @Mutoo 以前学校网站也有这漏洞。。。去找老师然后老师说反正内网用没事的。。。然后还送了小礼物。。。后来才懂那就是封口费。。。
    delectate
        15
    delectate  
       2012-01-05 00:45:03 +08:00
    php,注入点。sina这也太……

    貌似一个刚刚入门的php coder,也要学习如何防止注入吧。
    VYSE
        16
    VYSE  
       2012-01-05 00:46:02 +08:00
    @Mutoo PHP这种注入也很多的,那时ASP更猖狂,加个冒号直接执行任意查询语句,碰MSSQL SA权限可以开SHELL,不过这次完全不一样,IASK子站数据库权限那么大,新浪安全部门存在意义何在
    Livid
        17
    Livid  
    MOD
       2012-01-05 00:47:46 +08:00
    本来除了邮箱用户,大家都不是很在乎自己的新浪帐号。但是有了微博之后,新浪确实应该对自己的账户系统的安全再重视一些了。
    Mutoo
        18
    Mutoo  
       2012-01-05 10:29:22 +08:00
    CSDN事件过了那么多天了,SINA居然没有动作,现在被爆出来居然还用明文,这样不作为是为什么,难道上面有人要求他们这样做?
    delectate
        19
    delectate  
       2012-01-05 10:32:38 +08:00
    @Mutoo 恭喜!你猜对啦!
    #account#email#pwd#id

    这种存储格式,哪个傻逼网站能当数据库备份啊?明显是有神秘之手要的。
    9hills
        20
    9hills  
       2012-01-05 13:17:58 +08:00
    @Mutoo 新浪有动作的,CSDN爆了后,新浪安全部门第一时间表示新浪绝对没用明文密码,请大家放心账户安全
    Mutoo
        21
    Mutoo  
       2012-01-05 13:27:33 +08:00
    @9hills 求原文链接
    9hills
        22
    9hills  
       2012-01-05 14:18:33 +08:00
    @Mutoo Google "新浪微博用户帐号信息采用加密存储,并未被盗"
    kongruxi
        23
    kongruxi  
       2012-01-05 14:25:11 +08:00
    我以前学校那个图书馆检索系统是直接将SQL都写到html中。我想,既然有勇气将SQL都写到html中,也会有勇气让你直接可以SQL注入的。

    Mutoo
        24
    Mutoo  
       2012-01-05 17:34:49 +08:00
    @9hills Thx
    feikeq
        25
    feikeq  
       2012-01-05 18:01:43 +08:00
    SELECT concat 80x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e 9+FROM+'whatis'.user where uid=12715428867
    hq5261984
        26
    hq5261984  
       2012-01-06 04:20:54 +08:00
    @feikeq ???新构造?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2901 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 13:01 · PVG 21:01 · LAX 05:01 · JFK 08:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.