来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 利用此漏洞,第三方应用开发者可以在用户还没有点击授权按钮时,让用户在不知情的情况下自动授权其应用。From @齐萌详细说明:新浪微博对于第三方应用授权使用微博数据,是使用...
|
利用此漏洞,第三方应用开发者可以在用户还没有点击授权按钮时,让用户在不知情的情况下自动授权其应用。From @齐萌
详细说明: 新浪微博对于第三方应用授权使用微博数据,是使用OAuth协议进行认证。第三方应用需要使用用户数据时,需要用户登录后点击授权按钮才可进行。 但是由于授权按钮提交表单数据全可预知,因此使用csrf,构造类似表单自动提交,即可让已经登录的用户在不知情的情况下授权第三方应用。 漏洞证明:     修复方案: 请注意增加token等措施防范 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
