吉林大学北国之春BBS

标题: 腾讯微博任意访问者发广播漏洞 [打印本页]

作者: 骑驴上高速 时间: 2011-6-28 11:36
标题: 腾讯微博任意访问者发广播漏洞
在用户登录过网页微博的前提下，任意用户访问一个含有CSRF代码的网页，访问者就会自动发送一条我们指定的广播到微博。
下面是伪造的post请求的数据包格式
content=广播内容&pic=图片文件
将此数据包post发送到微博应用接口：http://v.t.qq.com/wall/upload.ph ... 394bcc253d6e0814871
用户就会发送一条含有图片的广播到微博~
用户防范此类型漏洞办法：将浏览器设置为阻止任何第三方cookie，能防站内执行，但对新打开窗口无效

作者: 江海志 时间: 2011-6-28 11:38
{:soso_e136:}

作者: 丘石 时间: 2013-9-25 13:07
路过，支持一下啦

欢迎光临吉林大学北国之春BBS (http://jluol.com/)