黑客不知道weibo密碼是否也能盜號發微博?

今天發現weibo微博被盜號後異地通過微博桌面登陸,用來轉發了很多營銷微博,但是密碼並沒有被修改。是否可能黑客不知道密碼也能登錄微博(cookie什麼的),所以才改不了密碼?


當然能,而且手段比較多。xss是一類,csrf也是一類,還有SQL注入泄漏token等信息,烏雲平台有很多這樣的例子,我列舉幾個

通過黑掉http://weibo.cn拿下雷軍的微博:

我是如何登錄任意新浪微博用戶的(雷軍微博演示)

以及黑掉另外一個子站點拿下國民老公王思聰的微博:

我是如何登錄任意新浪微博用戶的(王思聰微博演示)

通過Oauth認證, @Fooying 已經有文章介紹了。

通過Android客戶端老版本的uxss進行hack你的微博:

掃描新浪微博安卓客戶端UXSS附蠕蟲利用

以及flashxss 形成的xss後門:

新浪微博flash xss rookit (烏雲峰會視頻演示-0x04)

還有csrf刷粉絲:

新浪微博csrf刷粉絲

以及通過csrf來控制你的微博發布內容:

新浪微博首頁再來一波蠕蟲

以上,這些都不需要知道你的密碼,即可登錄你的微博。

update:2017.12.24

那些私信我盜號的,請把你們的話收回去,我是那種人?

能不能走點心?起碼先發個紅包再問問題,ok?

私信提問的,請移步至:

https://www.zhihu.com/zhi/people/928373967348174848?qrcode=1 (二維碼自動識別)


當然可以,比如說通過token,可以看看我之前的文章博全球眼球的OAuth漏洞 - 微信公眾號:oxsafe by Fooying - 知乎專欄,或者利用一些漏洞,比如XSS、CSRF等等,


個人想法,微博採用了RESTful的認證當時,登錄時由服務端返回給客戶端一個令牌,可以通過劫持這個token來達到劫持賬戶的目的。

但是token是有有效期的(好像是7200秒,兩個小時),過期了這個token就作廢了。

劫持token可以通過在你的電腦上種木馬,也可以劫持路由。如果在同一個子網,還可以直接監聽抓包。


首先關於題主的情況我先回答

不改密碼最大的可能性是改密碼需要密保,黑客沒有密保,所以不行。他肯定是有你的密碼的。

你的微博是如何被盜的?你的QQ是如何被盜的?可以看看我的文章

http://zhuanlan.zhihu.com/p/22148511

更多內容http://www.chengzhivip.com

如果有關於信息安全方面的問題歡迎您向我提問,只要花一塊錢就行。

歡迎大家關注我哦


需要密碼的還叫黑客嗎~那隻能算小賊。

你遇到的不是黑客,就只是普通盜號的

竊取你密碼的目的只是為了發布消息,而不是侵佔賬號,所以沒有改你密碼罷了。有什麼疑問嗎?


我就很納悶我怎麼防止被盜,他不改我密碼不改郵箱,就只是轉發,很煩啊,而且萬一哪天想盜我其他賬號怎麼辦。


用ARP欺詐可以盜取Cookie,進而控制微博用戶,只是無法隨意登錄,對方註銷了就沒辦法了。

有個同學用手機跑BT5,連上老師路由器,用ARP欺詐,在老師微博發了個我是傻逼。


是真的黑客就直接安息吧,不用反抗了


有哪位大神可以幫我盜個號嗎

今天微博上有個高仿號謊稱機票出問題了想去騙我朋友 雖然沒得逞

但我想給他個教訓 無奈自己對盜號一竅不通。。。


我也遇到個,拿我微博號轉發廣告,問題是我微博沒有幾個好友,根本沒有被盜價值,請問圖的啥?


路由滲透


推薦閱讀:

你的 Firefox 必備擴展有哪些?
丁香園的強大之處在哪?
互聯網公司里和台灣人/美國人工作是一種什麼樣的體驗?
吾志的盈利模式是什麼?

TAG:互聯網 | 微博 | 網路安全 | 密碼 | 盜號 |