乌云漏洞报告平台是国内知名的一个网络白帽子聚集地,该平台曾经协助不少国内网站及时处理掉了相关漏洞,口碑在业界相当良好。
昨日有一名白帽子曝出通过某处新浪微博漏洞拿取shell,而后筛选审核源码最终调用内部接口可获取任意用户gsid,再通过某技巧使用gsid生成SUB认证cookie即可登录任意微博用户(获取所有权限)。
该漏洞评级为高,已经被新浪微博认领并处理,事后在讨论奖励问题的时候@新浪安全官微也@王思聪表示:“老公放心,这个漏洞我们1小时以内迅速修复啦~没人能够再上你啦!你是我的,么么哒~!”