发新帖

腾讯微博任意访问者发广播漏洞

[复制链接]
1216 2 打印 上一主题 下一主题

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
在用户登录过网页微博的前提下,任意用户访问一个含有CSRF代码的网页,访问者就会自动发送一条我们指定的广播到微博。
下面是伪造的post请求的数据包格式
content=广播内容&pic=图片文件
将此数据包post发送到微博应用接口:http://v.t.qq.com/wall/upload.ph ... 394bcc253d6e0814871
用户就会发送一条含有图片的广播到微博~
用户防范此类型漏洞办法:将浏览器设置为阻止任何第三方cookie,能防站内执行,但对新打开窗口无效

精彩评论2

沙发
江海志  创始人  发表于 2011-6-28 11:38:00 | 只看该作者
{:soso_e136:}
3
丘石  乞丐  发表于 2013-9-25 13:07:52 | 只看该作者
路过,支持一下啦
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表