黑客不知道weibo密码能否也能盗号发微博？

在森林麋了鹿－ · 发表于 2023-2-1 13:04:24

来日诰日发明weibo微专被匪号后同天颠末微专桌里登岸，用去转收了许多营销微专，可是暗码并无被改正。可否可以乌客没有明白暗码也能登录微专(cookie甚么的)，以是才改没有了暗码？

10kvK8u · 发表于 2023-2-1 13:04:32

这个是完全可能的。有几个方面的漏洞都会造成同样的效果：
1、XSS漏洞，就是植入一段JS代码，通过JS代码获取你当前的凭证，并且传输给黑客，这样黑客就可以模拟你的身份登录并且完成所有操作了。
2、CSRF漏洞，这种一般是别人给你发个链接，然后你点击链接后，会以你的身份完成某一个操作，但有个前提是你打开链接的浏览器必须登录了微博，并且身份没有过期。
3、密码泄漏，网上有很多社工库，里面说不定你的密码已经泄漏了，而你不知道罢了。
4、手机验证码登录，有些接口使用4位验证码，并且没有对错误次数进行校验，这种情况下，很容易被攻击者暴力枚举所破解，最终也能登录到你的账号。
5、OAuth漏洞，这个可以参考：OAuth 2.0 身份验证漏洞
奇安信攻防社区-微服务下统一认证风险总结

tkgvdkBWvT · 发表于 2023-2-1 13:05:08

首先关于题主的情况我先回答
不改密码最大的可能性是改密码需要密保，黑客没有密保，所以不行。他肯定是有你的密码的。
你的微博是如何被盗的？你的QQ是如何被盗的？可以看看我的文章
http://zhuanlan.zhihu.com/p/22148511更多内容http://www.chengzhivip.com
如果有关于信息安全方面的问题欢迎您向我提问，只要花一块钱就行。
欢迎大家关注我哦

u6ji33 · 发表于 2023-2-1 13:06:05

我也遇到个，拿我微博号转发广告，问题是我微博没有几个好友，根本没有被盗价值，请问图的啥？

WAbj · 发表于 2023-2-1 13:06:38

当然可以，比如说通过token，可以看看我之前的文章
博全球眼球的OAuth漏洞 - 微信公众号:oxsafe by Fooying - 知乎专栏，或者利用一些漏洞，比如XSS、CSRF等等，

rreXZ · 发表于 2023-2-1 13:07:38

个人想法，微博采用了RESTful的认证当时，登录时由服务端返回给客户端一个令牌，可以通过劫持这个token来达到劫持账户的目的。
但是token是有有效期的（好像是7200秒，两个小时），过期了这个token就作废了。
劫持token可以通过在你的电脑上种木马，也可以劫持路由。如果在同一个子网，还可以直接监听抓包。

越消费越富有？陕西永倍达疑涉传销被多地发

黑客不知道weibo密码能否也能盗号发微博？

精彩评论5

浏览过的版块

无偿运用Manus创建一个跨境电商AI交融案例

关于我们

产品与服务

全网营销

加盟与合作