目前国内很多地方都部署有WLAN，比如机场、酒店、学校、营业场所、公共交通场所等，而且很多地方都是免费提供的，例如某些机场通过新浪微博帐号就可登录WLAN。新浪微博现在火，特别是成功人士都在用，在这些场所登录新浪微博，完全没有隐私可言，而且还有可能被人冒用身份发微博，发私信等。
详细说明： 在公共场合使用免费的wifi上新浪微博真的很不安全。在公共场合的wifi环境里，不管你是使用笔记本电脑通过http://www.weibo.com访问新浪微博，还是用手机在浏览器中打开新浪微博(http://www.weibo.cn),或者通过iphone客户端、Android客户端或ipad等访问，都有可能被session hijacking.表达能力不行，还是看图吧。
漏洞证明：iPad登录:
 
 


 
密码明文传输。
有人会说，我在家里登录微博没有退出，不需要输入密码，iPad是通过cookie来验证客户端身份的，那就存在被session hijacking 的可能.
 
 
 
服务器返回的信息是xml格式的明文信息，ipad,iphone,android设备的客户端都一样。
 
 
 
既然已经做了客户端了，为什么不把这些信息加密呢？这让通过微博发私信约炮的同学情何以堪？
 
 
目前新浪微博网页版http://www.weibo.com登录中加密方法的复杂度已不低于腾讯，通过ARP攻击获取到密码字段是经过加密的，没有什么意义。但是通过session hijacking，依然可以做很多事情。
看图:
 
 
 
 
session hijacking成功例子：
 
 
 
图中用到的软件是DroidSheep ，正如软件作者所说的那样DroidSheep now supports nearly all Websites using Cookies!
有矛就有盾，DroidSheep的作者还开发了另外一款工具DroidSheep Guard用来检测网络中是否存在ARP攻击。
 
新浪微博手机版www.weibo.cn
 
 
 
这个不用多说了吧，人家已说明是使用明文密码传输。
 
再看看iphone或Android客户端，最新版的iphone或Android客户端密码已经加密了，没有使用cookie，无法进行session hijacking，那是否就安全了呢？当然不是，首先微博内容都是以xml格式明文传传输的，这个不多说。我们主要来看看如何arp来获取敏感信息并登录他人的微博。正常使用iphone客户端登录微博，服务器会返回以下信息:
 
 
 
有sid gsid uid nick等,其中nick是你的呢称,uid是您的唯一标识，如身份证id,而gsid是一个和您的密码有关的值，初步估计是用uid,您的密码等值通过某种算法得出来的。在您不修改密码的前提下，gsid是固定的，每次登录都一样。而且客户端向服务器提交的每一个请求都包话这个信息。通过分析发现，只需要知道uid和gsid就可能非法登录他人的微博进行任何操作（除了修改密码).具体操作是:在iphone上设置http代理（fiddler），正常登录微博，fiddler中断在Response,把服务器返回的uid和gsid修改成他人的uid和gsid后返回给iphone客户端，这时你会发现，你登录了他人的微博并能进行任何操作。至少如何获取他人的uid和gsid，看图:
 
 
 
通过cain在公共场所的wifi下，只有有人通过手机客户端访问微博，你不一会就会获得很多。Android客户端和iphone4的原理一样。
 
上面说了很多，不知道我有没有讲明白。总之公共场合的wifi环境访问新浪微博不安全
修复方案：

上面提到的问题，不是新浪一家公司能解决的，目前的WLAN环境就是这样，一般都没有防arp攻击。但是新浪可以对敏感信息进行加密传输，加强客户端的验证。
 
 
作者pestu@乌云