新浪微博认证设计缺陷及修复 - 网站安全 - 自学

简要描述：新浪微博设计缺陷，导致在知道原账号密码的情况下，即使修改密码一样可以被人取得权限发表微博，添加关注之类操作，可以参考http://www.80sec.com/session-hijackin.html

详细说明：新浪微博认证上存在缺陷，由于用户的认证是保存在

浏览器里的，用户在修改密码的时候并不会导致原有认证状态的失效，只要用户保持不退出将一直获得用户的身份

漏洞证明：开两个浏览器，一个chrome一个ie，登录之后在chrome里修改密码之后无论是chrome和ie里的用户将都不会退出，导致一个session hijacking的攻击，看起来是修改密码无效

修复方案： http://www.2cto.com/Article/200812/31068. html

作者结界师

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did12762

更新时间：2022-09-13 阅读：52次