WooYun.org

iPad登录:

密码明文传输。
有人会说，我在家里登录微博没有退出，不需要输入密码，iPad是通过cookie来验证客户端身份的，那就存在被session hijacking 的可能.

服务器返回的信息是xml格式的明文信息，ipad,iphone,android设备的客户端都一样。

既然已经做了客户端了，为什么不把这些信息加密呢？这让通过微博发私信约炮的同学情何以堪？
目前新浪微博网页版http://www.weibo.com登录中加密方法的复杂度已不低于腾讯，通过ARP攻击获取到密码字段是经过加密的，没有什么意义。但是通过session hijacking，依然可以做很多事情。
看图:

session hijacking成功例子：

图中用到的软件是DroidSheep ，正如软件作者所说的那样DroidSheep now supports nearly all Websites using Cookies!
有矛就有盾，DroidSheep的作者还开发了另外一款工具DroidSheep Guard用来检测网络中是否存在ARP攻击。
新浪微博手机版www.weibo.cn

这个不用多说了吧，人家已说明是使用明文密码传输。
再看看iphone或Android客户端，最新版的iphone或Android客户端密码已经加密了，没有使用cookie，无法进行session hijacking，那是否就安全了呢？当然不是，首先微博内容都是以xml格式明文传传输的，这个不多说。我们主要来看看如何arp来获取敏感信息并登录他人的微博。正常使用iphone客户端登录微博，服务器会返回以下信息:

有sid gsid uid nick等,其中nick是你的呢称,uid是您的唯一标识，如身份证id,而gsid是一个和您的密码有关的值，初步估计是用uid,您的密码等值通过某种算法得出来的。在您不修改密码的前提下，gsid是固定的，每次登录都一样。而且客户端向服务器提交的每一个请求都包话这个信息。通过分析发现，只需要知道uid和gsid就可能非法登录他人的微博进行任何操作（除了修改密码).具体操作是:在iphone上设置http代理（fiddler），正常登录微博，fiddler中断在Response,把服务器返回的uid和gsid修改成他人的uid和gsid后返回给iphone客户端，这时你会发现，你登录了他人的微博并能进行任何操作。至少如何获取他人的uid和gsid，看图:

通过cain在公共场所的wifi下，只有有人通过手机客户端访问微博，你不一会就会获得很多。Android客户端和iphone4的原理一样。
上面说了很多，不知道我有没有讲明白。总之公共场合的wifi环境访问新浪微博不安全