漏洞作者: 路人甲 提交时间: 2011-12-24 公开时间: 2012-02-07 发布一段可以执行js代码的微博,在ios客户端上浏览 pestu: 利用方式:通过跨站偷偷打开一个网页,从referfe中获取gsid,而目标用户的uid可以很容易查到。要是新浪不使用短链,直接在微博上发一张图片就搞到gsid了。
本文介绍了一个在iOS客户端上通过发布包含可执行JS代码的微博来窃取用户gsid的漏洞。攻击者可通过跨站请求伪造的方式悄悄打开网页并从referer中提取gsid。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
