查看: 973|回复: 2
掌上平乐微信公众号发布假信息 创办人管理员被拘
主题帖子积分
等级6, 积分 328, 距离下一级还需 12 积分
等级6, 积分 328, 距离下一级还需 12 积分
掌上平乐微信公众号发布假信息 创办人管理员被拘
(出处: 油茶论坛)
核心提示：一男子在微信里跟朋友吹牛，说驾车回家路上遭人持刀打劫。“掌上平乐”微信公众号在没有核实的情况下，发布信息《此山是他开?南佛村多人持刀打劫过路车》，从而引起不少民众恐慌。目前，该号的一名创办人和一名管理员因此被平乐警方行政拘留。
　　“掌上平乐”微信公众号发布虚假信息
一名创办人和一名管理员被平乐警方行政拘留
桂林生活网讯(桂林晚报记者申艳 通讯员李志江 实习生陆柯言)一名男子在微信里跟朋友吹牛，说驾车回家路上遭人持刀打劫。“掌上平乐”微信公众号在没有核实的情况下，发布信息《此山是他开?南佛村多人持刀打劫过路车》，从而引起不少民众恐慌。昨天，记者从平乐县公安局了解到，“掌上平乐”微信公众号一名创办人和一名管理员因此被平乐警方行政拘留。
1月21日，“掌上平乐”微信公众号发布信息《此山是他开?南佛村多人持刀打劫过路车》，内容称：“今日(1月21日)凌晨1点，在平乐镇南佛村佛子坳发生一起持刀打劫过路车案件，五六个歹徒持铮亮砍刀欲逼停一辆过路轿车，车主单人驾车，退进不能，生命财产受到严重威胁。当狂徒持刀欲砸车窗时，加速穿过，与歹徒刀棒发生碰撞，但终于脱离危险。”该信息在微信朋友圈内被大量传播，短时间内点击率高达4000余次，引起了不少民众的恐慌。
平乐警方获悉这一情况后，局领导高度重视，立即指派附城派出所和相关单位迅速开展调查取证工作。很快便将情况查实，“掌上平乐”微信公众号发布的那一信息是虚假信息，这原是平乐镇上游村一个吴姓村民跟朋友吹牛说的。原话是：“昨晚有四五个野仔想拦路抢劫我，晓得给我撞死了没，搞得我又挨修车，这种人就当撞死狗算了。”民警也找到了吴某，吴某说自己那些话是乱编的。真实的情况是：1月21日凌晨1点多，他驾车回家路过南佛村佛子坳时，先被一辆过路车超过，几分钟后，他见到一名醉酒男子摇摇晃晃走在路边，差点撞上那人。
附城派出所谭所长告诉记者：“莫某是‘掌上平乐’微信公众号创办人之一，他获悉这事后，没有经过核实，而去添油加醋编写了这一虚假信息，然后将此信息发给‘掌上平乐’微信公众号管理员蔡某，蔡某直接将该虚假信息发布到网络上，借此赚取点击量，提高该微信公众号知名度。”
1月22日下午，平乐警方将发布该虚假信息的嫌疑人蔡某和莫某抓获，依法对蔡某、莫某处以行政拘留十日的处罚。
主题帖子积分
等级17, 积分 1868, 距离下一级还需 32 积分
等级17, 积分 1868, 距离下一级还需 32 积分
发布虚假信息是要挨卵的
主题帖子积分
等级16, 积分 1661, 距离下一级还需 39 积分
等级16, 积分 1661, 距离下一级还需 39 积分
拘的好，乱发博眼球
桂林生活网（）版权所有
Powered by
扫一扫下载客户端微信公众号管理员后台点击我发的消息链接，公众号介绍等设置就会被修改（绕过csrf防护）
微信公众号管理员在后台点击我发给他的链接，他的简介、头像、隐私设置、地址等设置就会被修改，还可以添加用户分组
微信公共号后台的CSRF防护是有的，token防护加referrer限制，看起来很完美
但是，由于设计的一些不合理，仍然可被csrf攻击，以下是详情
1、公众号后台的token的设计问题
公众号后台的csrf防护的token直接在后台所有操作的url中都会出现。这样token就有可能被http包里的referer字段发往第三方而泄露。我在以前写过的文章 http://drops.wooyun.org/web/7112 里也提过这个问题的风险，当时我说削弱了防护体系。一旦其他的防护有问题的时候，这个问题就会被利用
2、先偷TOKEN
发送一个自己可控内容的https（公众后台是https的，只给https传递referrer）的url给微信公众账号，一旦他点击，管理后台url里的token就会发给我们。
直接给公众号发送url，后台是不会识别的。需要一个小技巧来给后台发链接
把链接到微信的聊天框中然后访问，然后微信内置浏览器会打开这个页面，然后再收藏这个页面
然后再给公众号发收藏里的这个页面，这样在管理员的后台看到的就是一个富媒体格式的链接的
3、某些处可绕过referrer
微信公众号后台的操作都是post的，而且限制了referrer为本域
但是有一些操作，比如公众号设置里的介绍、头像修改、添加分组、地址修改、隐私设置是否允许别人搜索的设置等地方的请求，虽然看起来也是post的
但是你如果把post请求改成get，body的内容放到get参数中，这样的请求服务端也接受
修改介绍的请求：
https://mp./cgi-bin/setuserinfo?action=intro&t=ajax-response&token=&lang=zh_CN&f=json&ajax=1&random=0.5742&intro=hacked%20by%20shidada
https://mp./cgi-bin/modifygroup?t=ajax-friend-group&token=&lang=zh_CN&f=json&ajax=1&random=0.8632&func=add&name=helloasasas
关闭允许他人搜索到的设置
https://mp./cgi-bin/setuserinfo?t=ajax-response&token=&lang=zh_CN&f=json&ajax=1&random=0.8153&action=search&open=0
而且改成get请求后，referrer限制允许了空referrer的情况，这样我们的利用就更不易被察觉了，因为不需要直接发此链接让受害者点了
4、怎么利用
构造一个https页面，里面是伪装的内容，并且会发出空referer的带着token的get请求（可使用iframe动态加载form来发get请求）来完成如上一些敏感操作
给公众账号发链接
她点击后介绍被我修改成&hacked by koreans&
由于她被我攻击，所以她要求我补偿她给她公众号，她的号和照片如下
加他的公众账号吧，你的人生开始不再虚度
解决方案：
保护好token，不要放在get中
post的请求不要让get发
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'公众平台找回帐号&&重置管理员微信号选择字号：
不同类型重置管理员微信号的流程不一样，个人、企业/组织类型，操作帐号找回后，公众号绑定邮箱和管理员微信号会根据您所提交的新资料信息重新修改替换；政府类型，修改公众号绑定邮箱和重置管理员微信号需单独提交修改，且不会重置运营者身份证信息，请参考以下不同类型的操作方法。
个人类型：您可通过找回帐号自助工具同时重置公众号绑定邮箱和管理员微信号。请您把以下网址复制到浏览器打开（网页地址：https://mp./acct/findacct?action=scan）温馨提示：1、提供的新邮箱需未绑定过个人微信，且未申请过公众号的新邮箱；2、在申请找回帐号过程中，扫码的个人微信号会自动默认成为帐号安全中心新的管理员微信号；3、找回结果在3个工作日发送到个人微信号上。
1输入名称，点击搜索标志；
2使用主体微信号扫码：
3提供资料信息后提交申请找回；
4登录新邮箱接收邮件激活。
企业、媒体、组织类型：请您通过浏览器打开该网页（网页地址：https://mp./acct/findacct?action=scan）重置公众号绑定邮箱和管理员微信号，在申请找回帐号的页面填写的对公账户信息和运营者信息可以和注册不一致，完成找回后，管理员微信号会同步更新;流程如下：第一步：打开网址https://mp./acct/findacct?action=scan，填写资料扫码提交；第二步：查询银行帐单的备注码，并记录好备注码上的6位数字；第三步：等候24小时，届时会通过“微信团队”下发消息到扫码的微信号提示填写备注码，将备注码填写上去，通过验证；第四步：到公众平台官网使用新邮箱重新设置密码；第五步：使用新邮箱+新密码登录公众平台帐号。温馨提示：1、必须有对公帐户。如没有对公帐户（包括个体户），请尽快去银行办理并确认该对公户能够正常接收款项后再进行帐号找回操作；2、在申请找回帐号过程中，扫码的个人微信号会自动默认成为帐号安全中心新的管理员微信号；3、1分钱打款到帐时间为3个工作日内，若提前收到打款，请耐心等待24小时后“微信团队”下发通知输入验证信息即可。
1输入公众号名称或原始ID、微信号点击搜索标志；
2填写资料验证：包括企业名称、营业执照注册号、对公账户信息、运营者身份证姓名和身份证号码、运营者身份证验证，新的登录邮箱；
3登录新邮箱确认；
政府类型：针对政府类型修改管理员微信号，您可以准备好以下的资料信息后，点击提交申请修改，我司工作人员会尽快核实，请您在3个工作日内登录/点击上方的“服务记录查询”=》登录需要查询服务记录的QQ号码=》可以通过已处理的问题中查看处理结果。1、公众号登录帐号：2、公众号类型：3、原主体组织机构代码证：4、更改管理员微信号的申请公函：温馨提示：提供证件及盖章须与申请公众号的原主体保持一致。
公众号找回——重置管理员微信号常见问题：
1重置管理员微信号提示“暂不支持此公众号找回”答：如您是非政府类型，目前该帐号不支持找回，请您重新注册帐号使用，感谢您的理解与支持，谢谢！
2重置管理员微信号提示“未找到符合的公众号”答：请输入公众号名称、原始ID或公众号设置的微信号搜索。
3重置管理员微信号提示“没有找回记录”答：您好，第一次找回的时候输入公众号名称/微信号的时候，要点击旁边的放大镜搜索才可以的，并不是点击“这里”查询结果，否则是没有记录的。
4帐号找回打款1分钱信息收到了，为什么微信还没有收到信息？答：请先不要着急，微信团队下发消息通知的时间是24小时左右，请您耐心等待即可。公众平台登录扫码相关问题：1、2、3、
以上信息是否已解决您的问题？