网站登录系统存在 漏洞 ,可以不经授权登录别人帐号 登录 系统 时的微博登录方式 微博帐号验证成功后返回跳转网址 http://i.tao123测试数据/sina_login.php?jump=http://i.tao123测试数据/#access_token=xxxxxxxxxxxxxx&remind_in=******&expires_in=******&uid=****** 只要更换后面的uid 如果这个帐号ID在网站存在 网站则会授权登录访问此帐号 跳转后未对授权代码做验证 只验证了 token是否有效 并未验证和uid的对应关系
查看更多关于淘网址sina oauth认证登录漏洞 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did13576