黑客不知道weibo密碼是否也能盜號發微博?
今天發現weibo微博被盜號後異地通過微博桌面登陸,用來轉發了很多營銷微博,但是密碼並沒有被修改。是否可能黑客不知道密碼也能登錄微博(cookie什麼的),所以才改不了密碼?
當然能,而且手段比較多。xss是一類,csrf也是一類,還有SQL注入泄漏token等信息,烏雲平台有很多這樣的例子,我列舉幾個
通過黑掉http://weibo.cn拿下雷軍的微博:
我是如何登錄任意新浪微博用戶的(雷軍微博演示)
以及黑掉另外一個子站點拿下國民老公王思聰的微博:
我是如何登錄任意新浪微博用戶的(王思聰微博演示)
通過Oauth認證, @Fooying 已經有文章介紹了。
通過Android客戶端老版本的uxss進行hack你的微博:
掃描新浪微博安卓客戶端UXSS附蠕蟲利用
以及flashxss 形成的xss後門:
新浪微博flash xss rookit (烏雲峰會視頻演示-0x04)
還有csrf刷粉絲:
新浪微博csrf刷粉絲
以及通過csrf來控制你的微博發布內容:
新浪微博首頁再來一波蠕蟲
以上,這些都不需要知道你的密碼,即可登錄你的微博。
update:2017.12.24
那些私信我盜號的,請把你們的話收回去,我是那種人?
能不能走點心?起碼先發個紅包再問問題,ok?
私信提問的,請移步至:
https://www.zhihu.com/zhi/people/928373967348174848?qrcode=1 (二維碼自動識別)
當然可以,比如說通過token,可以看看我之前的文章博全球眼球的OAuth漏洞 - 微信公眾號:oxsafe by Fooying - 知乎專欄,或者利用一些漏洞,比如XSS、CSRF等等,
個人想法,微博採用了RESTful的認證當時,登錄時由服務端返回給客戶端一個令牌,可以通過劫持這個token來達到劫持賬戶的目的。
但是token是有有效期的(好像是7200秒,兩個小時),過期了這個token就作廢了。
劫持token可以通過在你的電腦上種木馬,也可以劫持路由。如果在同一個子網,還可以直接監聽抓包。首先關於題主的情況我先回答不改密碼最大的可能性是改密碼需要密保,黑客沒有密保,所以不行。他肯定是有你的密碼的。你的微博是如何被盜的?你的QQ是如何被盜的?可以看看我的文章http://zhuanlan.zhihu.com/p/22148511更多內容http://www.chengzhivip.com如果有關於信息安全方面的問題歡迎您向我提問,只要花一塊錢就行。歡迎大家關注我哦
需要密碼的還叫黑客嗎~那隻能算小賊。
你遇到的不是黑客,就只是普通盜號的
竊取你密碼的目的只是為了發布消息,而不是侵佔賬號,所以沒有改你密碼罷了。有什麼疑問嗎?我就很納悶我怎麼防止被盜,他不改我密碼不改郵箱,就只是轉發,很煩啊,而且萬一哪天想盜我其他賬號怎麼辦。
用ARP欺詐可以盜取Cookie,進而控制微博用戶,只是無法隨意登錄,對方註銷了就沒辦法了。有個同學用手機跑BT5,連上老師路由器,用ARP欺詐,在老師微博發了個我是傻逼。
是真的黑客就直接安息吧,不用反抗了
有哪位大神可以幫我盜個號嗎
今天微博上有個高仿號謊稱機票出問題了想去騙我朋友 雖然沒得逞
但我想給他個教訓 無奈自己對盜號一竅不通。。。
我也遇到個,拿我微博號轉發廣告,問題是我微博沒有幾個好友,根本沒有被盜價值,請問圖的啥?
路由滲透
推薦閱讀:
※你的 Firefox 必備擴展有哪些?
※丁香園的強大之處在哪?
※互聯網公司里和台灣人/美國人工作是一種什麼樣的體驗?
※吾志的盈利模式是什麼?