黑客不知道weibo密碼是否也能盜號發微博？

01-02

今天發現weibo微博被盜號後異地通過微博桌面登陸，用來轉發了很多營銷微博，但是密碼並沒有被修改。是否可能黑客不知道密碼也能登錄微博(cookie什麼的)，所以才改不了密碼？

當然能，而且手段比較多。xss是一類，csrf也是一類，還有SQL注入泄漏token等信息，烏雲平台有很多這樣的例子，我列舉幾個

通過黑掉http://weibo.cn拿下雷軍的微博：

我是如何登錄任意新浪微博用戶的（雷軍微博演示）

以及黑掉另外一個子站點拿下國民老公王思聰的微博：

我是如何登錄任意新浪微博用戶的（王思聰微博演示）

通過Oauth認證， @Fooying 已經有文章介紹了。

通過Android客戶端老版本的uxss進行hack你的微博：

掃描新浪微博安卓客戶端UXSS附蠕蟲利用

以及flashxss 形成的xss後門：

新浪微博flash xss rookit (烏雲峰會視頻演示-0x04)

還有csrf刷粉絲：

新浪微博csrf刷粉絲

以及通過csrf來控制你的微博發布內容：

新浪微博首頁再來一波蠕蟲

以上，這些都不需要知道你的密碼，即可登錄你的微博。

update:2017.12.24

那些私信我盜號的，請把你們的話收回去，我是那種人？

能不能走點心？起碼先發個紅包再問問題，ok？

私信提問的,請移步至：

https://www.zhihu.com/zhi/people/928373967348174848?qrcode=1 (二維碼自動識別)

當然可以，比如說通過token，可以看看我之前的文章博全球眼球的OAuth漏洞 - 微信公眾號:oxsafe by Fooying - 知乎專欄，或者利用一些漏洞，比如XSS、CSRF等等，

個人想法，微博採用了RESTful的認證當時，登錄時由服務端返回給客戶端一個令牌，可以通過劫持這個token來達到劫持賬戶的目的。

但是token是有有效期的（好像是7200秒，兩個小時），過期了這個token就作廢了。

劫持token可以通過在你的電腦上種木馬，也可以劫持路由。如果在同一個子網，還可以直接監聽抓包。

首先關於題主的情況我先回答

不改密碼最大的可能性是改密碼需要密保，黑客沒有密保，所以不行。他肯定是有你的密碼的。

你的微博是如何被盜的？你的QQ是如何被盜的？可以看看我的文章

http://zhuanlan.zhihu.com/p/22148511

更多內容http://www.chengzhivip.com

如果有關於信息安全方面的問題歡迎您向我提問，只要花一塊錢就行。

歡迎大家關注我哦

需要密碼的還叫黑客嗎～那隻能算小賊。

你遇到的不是黑客，就只是普通盜號的

竊取你密碼的目的只是為了發布消息，而不是侵佔賬號，所以沒有改你密碼罷了。有什麼疑問嗎？

我就很納悶我怎麼防止被盜，他不改我密碼不改郵箱，就只是轉發，很煩啊，而且萬一哪天想盜我其他賬號怎麼辦。

用ARP欺詐可以盜取Cookie，進而控制微博用戶，只是無法隨意登錄，對方註銷了就沒辦法了。

有個同學用手機跑BT5，連上老師路由器，用ARP欺詐，在老師微博發了個我是傻逼。

是真的黑客就直接安息吧，不用反抗了

有哪位大神可以幫我盜個號嗎

今天微博上有個高仿號謊稱機票出問題了想去騙我朋友雖然沒得逞

但我想給他個教訓無奈自己對盜號一竅不通。。。

我也遇到個，拿我微博號轉發廣告，問題是我微博沒有幾個好友，根本沒有被盜價值，請問圖的啥？

路由滲透