当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020495

漏洞标题:绕过新浪微博实名制注册

相关厂商:新浪微博

漏洞作者: noah

提交时间:2013-03-22 19:28

修复时间:2013-03-25 17:25

公开时间:2013-03-25 17:25

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-22: 细节已通知厂商并且等待厂商处理中
2013-03-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

今天微博上看到为了不输入身份证选择翻墙注册海外用户,或者使用别人的身份证去注册神马的,貌似证件号码是新浪微博找回密码的重要凭证,存在一定的安全隐患,下面的方式可以完全绕过新浪微博的实名注册机制...

详细说明:

事件起因

QQ截图20130322185047.png


绕过的过程,不要使用网页注册,直接使用新浪微博手机客户端(iphone版,安卓没测试,应该也一样)

IMG_0140.PNG


选择邮箱注册,(其实手机注册也是可以的,注册的时候用移动、联通未实名制的手机号)

IMG_0141.PNG


IMG_0143.PNG


登录邮箱激活

QQ截图20130322185153.png


QQ截图20130322185206.png


用未实名制的手机号发条激活短信,貌似一个手机可以绑定多个账号,后面也是可以取消绑定的

QQ截图20130322185250.png


注册成功了

IMG_0146.PNG


IMG_0147.PNG


注册成功后他会自动绑定刚刚你发短信的手机号,直接取消绑定就好了

QQ截图20130322190333.png


QQ截图20130322190400.png

漏洞证明:

QQ截图20130322190425.png

修复方案:

刷rank....

版权声明:转载请注明来源 noah@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-25 17:25

厂商回复:

无影响。

漏洞Rank:3 (WooYun评价)

最新状态:

暂无