Full control vulnerability of Sina Microblogging accounts

“我怎么能不看到眼前的东西呢?二加二等于四呀。”
“有时候是四,温斯顿。但有时候是五。有时候是三。有时候三、四、五全是。你得再努力一些。要神志健全,不是容易的事。”

——奥威尔,《一九八四》

谨以此文,纪念被封锁的Google。

本文灵感来源于:http://www.36kr.com/serious-bug-of-sina-weibo/,感谢@36氪。

Step1:打开链接:http://www.google.com.hk/search?sourceid=chrome&ie=UTF-8&q=t.sina.cn/dpool/ttt/home.php%3Fgsid%3D ,在这里,请感谢Google

Step2:然后你可以随意挑一个你看起来比较倒霉的朋友。比如我就挑选了那个最显眼的:http://tieba.baidu.com/f?kz=1013040681

Step3:在刚才打开的百度贴吧页面2楼中,我找到了这个链接:http://t.sina.cn/dpool/ttt/home.php?gsid=3_58a25393b398c49d358205ae0371ee92483e8971f230eaff6647ba&vt=1&wm=4007&lret=1 ,为了避免Cookie干扰,最好打开一个从来没上过新浪微博的浏览器(一般人都会在机器内装若干浏览器吧),然后打开我们刚才找到的链接。

Step4:当然,除了修改密码,你可以做任何事……

当然,我这仅仅是抛砖引玉。你们看到了这篇文章,然后可以去想想怎么搞别人的GSID……嗯,很美味,不是么?

欢迎转载,转载请勿注明出处

本文仅限技术交流,所造成的任何法律后果与本人无关。

Advertisements

Stuxnet超级工厂病毒全球肆虐,专家疑是国家行为

本文非原创

超级病毒疑似攻击伊朗核电站,专家疑是国家行为

  据英国《每日邮报》9月25日(北京时间)报道,日前,世界上首个网络“超级武器”,一种名为Stuxnet的计算机病毒已经感染了全球超过45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒,其目的可能是要攻击伊朗的布什尔核电站。布什尔核电站目前正在装备核燃料,按照计划,它本应在今年8月开始运行。

  “蠕虫”是一种典型的计算机病毒,它能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,就会被感染。这种Stuxnet病毒于今年6月首次被检测出来,是第一个专门攻击真实世界中基础设施的“蠕虫”病毒,比如发电站和水厂。目前互联网安全专家对此表示担心。

  一些专家认为,Stuxnet病毒是专门设计来攻击伊朗重要工业设施的,包括上个月竣工的布什尔核电站。它在入侵一台个人电脑后,会寻找广泛用于控制工业系统如工厂、发电站自动运行的一种西门子软件。它通过对软件重新编程实施攻击,给机器编一个新程序,或输入潜伏极大风险的指令。专家指出,病毒能控制关键过程并开启一连串执行程序,最终导致整个系统自我毁灭。

  卡巴斯基的高级安防研究员戴维·爱姆说,Stuxnet与其它病毒的不同之处,就在于它瞄准的是现实世界。他们公司已经和微软联手,查找程序中的编码漏洞,防止新病毒找到它。

  爱姆说,通常的大部分病毒像个大口径短枪到处开火,而Stuxnet像个狙击手,只瞄准特定的系统。一旦它们发现了编码缺陷,就好比找到了房子上的天窗,然后用一把羊头镐撬开一个更大的洞。Stuxnet被设计出来,纯粹就是为了搞破坏。

  德国网络安全研究员拉尔夫·朗纳已经破解了Stuxnet的编码,并将之公布于众。他坚信Stuxnet被设计出来,就是为了寻找基础设施并破坏其关键部分。他说,这是一种百分之百直接面向现实世界中工业程序的网络攻击。它绝非所谓的间谍病毒,而是纯粹的破坏病毒。

  朗纳说,Stuxnet病毒的高端性,意味着只有一个“国家”才能把它开发出来。根据我们所掌握的计算机法医方面证据,它的意图很明显,就是执行破坏性攻击,毁掉大量的内部信息。这并非某个坐在父母家里的地下室里的骇客能干得出来的,这种攻击的来源指向的是一个国家。Stuxnet很可能已经攻击了它的目标,只不过我们还没有接到消息而已。
继续阅读