来源:自学PHP网 时间:2015-04-17 10:15 作者: 阅读:次
[导读] GET就能发微博啊!!!!!微博还通过抓包插入csrf图片啊!!!看到微博不用点击就会自动蠕虫啊!!!!!详细说明:漏洞存在于微活动转发处,本来是一个POST请求的,但是GET方式也...
|
GET就能发微博啊!!!!!微博还通过抓包插入csrf图片啊!!!看到微博不用点击就会自动蠕虫啊!!!!!
另外,本来发图片处是只能上传图片的,但是,可以通过抓包修改,加载上面的地址,看到微博即会自动蠕动。 首先,上传一张任意图片。 然后,Fiddler抓包,把地址改成上面的。
PS:为了防止造成危害,相关测试微博已删除。 修复方案: 重要的操作一定要用POST啊!!!一定要有token啊!!!一定要验证referer啊!!! |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
