中國(guó)網(wǎng)財(cái)經(jīng)11月13日訊(記者 甄鼎丞) 近日，新浪微博連續(xù)曝出重大安全漏洞，漏洞可導(dǎo)致登陸任意新浪微博用戶的賬戶，并獲取所有用戶權(quán)限，實(shí)施操作。

　　11月10日，烏云網(wǎng)發(fā)布漏洞“我是如何登錄任意新浪微博用戶的(雷軍微博演示)”，危害等級(jí)定為高。此漏洞也引起網(wǎng)絡(luò)安全人士的熱議，而熱議的關(guān)鍵在于這是新浪微博一周內(nèi)第二次發(fā)生“被登陸”的高危安全漏洞。

　　就在7天前，11月3日下午，烏云網(wǎng)曾發(fā)布漏洞“我是如何登錄任意新浪微博用戶的(王思聰微博演示)”，危害等級(jí)也定為高。在漏洞發(fā)布頁(yè)面中，作者給出簡(jiǎn)要描述：某漏洞shell --> 審核源碼 --> 調(diào)用內(nèi)部接口獲取任意用戶gsid --> 利用某技巧使用gsid生成SUB認(rèn)證cookie --> 登陸任意微博用戶(所有權(quán)限)。

　　對(duì)于10月3日發(fā)布的漏洞，新浪方面進(jìn)行了確認(rèn)，并在微博中承諾“這個(gè)漏洞我們1小時(shí)以內(nèi)就迅速修復(fù)”。而對(duì)于11月10日的發(fā)布的漏洞，新浪方面未回應(yīng)。

　　隨后，中國(guó)網(wǎng)財(cái)經(jīng)記者在烏云網(wǎng)內(nèi)部人士處得到證實(shí)，同時(shí)漏洞發(fā)現(xiàn)者已登陸“王思聰”?！袄总姟钡奈⒉⒁呀貓D證明。

　　同時(shí)，烏云網(wǎng)相關(guān)負(fù)責(zé)人也從技術(shù)方面向中國(guó)網(wǎng)財(cái)經(jīng)記者解釋：兩個(gè)漏洞“后半部分是差不多的”， 第一個(gè)漏洞做了修補(bǔ)的同時(shí)又打開了另一個(gè)漏洞，而連續(xù)出現(xiàn)漏洞的原因?yàn)椤拔磸氐仔迯?fù)”。

　　按烏云網(wǎng)規(guī)定，45日后漏洞細(xì)節(jié)才可向大眾公布，故前述人士未提供截圖。

　　但更加重要的是：此類漏洞已存在多久？是否有用戶賬戶已經(jīng)被盜？

　　帶著這些問題，中國(guó)網(wǎng)財(cái)經(jīng)記者多次聯(lián)系新浪微博負(fù)責(zé)人。但截至發(fā)稿前，均未收到回應(yīng)。

　　新浪微博并非第一次出現(xiàn)涉及用戶賬戶的安全漏洞。此前，新浪微博也出現(xiàn)過注冊(cè)郵箱信息泄露和分站SQL注射等多次高危險(xiǎn)級(jí)別漏洞。