新浪微博ios客户端xss漏洞

最新推荐文章于 2024-04-14 22:38:53 发布
转载 最新推荐文章于 2024-04-14 22:38:53 发布 · 703 阅读 · 0
文章标签:

#新浪微博 #ios

本文介绍了一个在iOS客户端上通过发布包含可执行JS代码的微博来窃取用户gsid的漏洞。攻击者可通过跨站请求伪造的方式悄悄打开网页并从referer中提取gsid。

漏洞作者: 路人甲

提交时间: 2011-12-24

公开时间: 2012-02-07

发布一段可以执行js代码的微博,在ios客户端上浏览


 pestu:
利用方式:通过跨站偷偷打开一个网页,从referfe中获取gsid,而目标用户的uid可以很容易查到。要是新浪不使用短链,直接在微博上发一张图片就搞到gsid了。

新浪微博2011年6月受到过xss蠕虫攻击简析
如果我年少有为不自卑
10-23 2539
function createXHR(){ return window.XMLHttpRequest? new XMLHttpRequest(): new ActiveXObject("Microsoft.XMLHTTP"); } function getappkey(url){ xmlHttp = createXHR(); xm...
iOS安全攻与防(总篇)
tianjifou的博客
09-13 6691
iOS安全攻与防 本地数据攻与防 https Uiwebview 第三方sdk与xcode 反编译与代码混淆 越狱与反调试 扫描工具fortify 常见接口漏洞分析
新浪微博多处XSS漏洞
swordheart的博客
04-11 288
漏洞详情 披露状态: 2010-07-16: 细节已通知厂商并且等待厂商处理中 2010-08-18: 细节向公众公开 简要描述: 新浪微博多处粉严重的XSS,尽快修复吧 详细说明: 同城活动那里是有xss的,名称还是简介那里忘记了";alert(1);//你们再测下吧,今天不让发活动了- -次数限制太严格了…… 漏洞证明: http://t.sina.com.cn/pub/tags/%2522%253E%253Cscript%253Ealert(1)%253C%252Fscript%253
iOS Objective-c 正则表达式,解决xss漏洞
weixin_34352005的博客
12-27 231
2019独角兽企业重金招聘Python工程师标准>>> ...
两分钟窃取身边女神微博帐号?详解Android App AllowBackup配置带来的风险
键盘的起始页
05-27 2701
两分钟窃取身边女神微博帐号?详解Android App AllowBackup配置带来的风险 笔者在使用自己编写的Drozer模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在Android AllowBackup漏洞,已测试成功受到漏洞影响的应用包括:新浪微博,百度云网盘,美团,大众点评,去哪儿等等。 [0x00] 漏洞案例 先来看一个情景案例,某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT男高兴地答应女神两分钟搞定,屁颠屁颠的跑到自
XSS介绍
MichaelJY1991的专栏
04-08 1198
安全漏洞——沉睡的巨人XSS Cross-site scripting,跨站脚本攻击,简写XSS(因为首字母缩写与CSS样式表重复,故采用XSS)。 背景 Web程序安全问题依赖于很多机制,其中就包括“同源策略”。同源策略是指调用方与被调用方需是同一地址,否则浏览器会阻止其调用。 XSS脚本攻击主要集中在web系统、其所在服务器以及相关依赖系统。利用这其中的一个漏洞,攻击者可以把恶意内容从...
Zoom 修复 Whiteboard 中的XSS漏洞
smellycat000的专栏
12-30 853
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Zoom 修复了位于桌面和web版本 Whiteboard app 中的一个XSS漏洞。Zoom Whiteboard可使用户通过增加和编辑不同的对象,在共享画布上实时协作。Whiteboard 在浏览器和桌面app上都运行 JavaScript 代码。1逃逸清理Zoom Whiteboard 中的XSS漏洞是由安全研究员 Eugene Lim ...
好用的新浪微博客户端
03-29
《好用的新浪微博客户端:深度解析与探讨》 在当今的社交媒体时代,微博作为一个重要的信息传播平台,其客户端的开发和优化始终是开发者关注的焦点。本文将围绕“好用的新浪微博客户端”这一主题,结合标签“源码”...
新浪微博客户端 四次元 源代码
12-05
本篇将聚焦于“新浪微博客户端 四次元”的源代码,通过对其深入剖析,我们可以了解微博客户端的架构设计、功能实现以及优化策略,这对于移动应用开发人员来说是一份宝贵的参考资料。 1. **源代码的意义与价值** - ...
仿新浪微博php程序xweibo
06-08
新浪微博采用OAuth协议进行第三方应用授权,XWeibo在实现用户授权登录功能时,也需要理解并应用OAuth协议,确保安全地获取和使用用户的微博账户权限。 6. **模板引擎** 为了提高视图层的复用性和可维护性,XWeibo...
weibo_points:一键获取微博积分
05-29
简介 这是一个微博超话自动获取积分的工具,每天获取积分特别麻烦,所以写了这个代码来自动完成 功能 发送积分贴到超话 自动评论积分贴(可以带链接) 自动vip 签到 and pk 连续访问积分 超话登录积分 流程图 安装 1.下载脚本 $ git clone https://github.com/wxy1343/weibo_points 2.安装依赖 $ pip install -r requirements.txt 使用 1.运行脚本 $ python main.py 2.获取gsid 1.用Chrome打开https://m.weibo.cn/login 2.登录成功后,按F12键打开Chrome开发者工具 3.点击Chrome开发者工具中的Network->Name中的m.weibo.cn->Headers->Request Headers->cookie->SUB等于号后面到封号里的
iOS出现了严重的安全漏洞
v5qqcom
07-29 265
根据ComputerWorld今日最新报道,iOS系统用户可能被任何人窥探加密的网络用户数据,也就是使用SSL加密的数据,对于普通用户来说使用https的网络协议。 赶紧更新最新的iOS补丁。当你使用PayPal, Bank等涉及个人帐户的时候,它们都使用https来加密传输用户数据,如果使用没有补丁过的iOS设备来使用你的银行帐户,那么任何人都有可能偷窃你的银行信息。 这个系统漏洞,最早在9...
通过用户名称获取微博id
lzz360的专栏
12-04 4918
PHP 通过微博昵称获取用户的UID 2014-8-4 15:16:39代码1条评论 有的时候我们需要调用一些微博的组件,这些调用都需要获取用户在微博的UID,让用户亲自去找UID会降低用户体验,所以我们需要想一些办法来获取。 起初想到的就是访问微博搜索页面,正则匹配页面内容,找到UID,存入数据库。 但是经过实验后发现,在经过一定次数的读取之后,无法读取了,手动输出page内容一看,
IOS中UIWebView的UXSS漏洞及修复方法
xiao_quan的专栏
01-12 2830
IOS开发的同学经常用到UIWebView,大多时候是加载外部地址,但是有一些时候也会用来加载本地的html文件。 UIWebView加载外部地址的时候遵循了“同源”策略,而加载本地网页的时候却绕够了“同源”策略,导致可以访问系统任意路径。 这就是UIWebView中存在的UXSS漏洞。已知尚未修复该漏洞的App有:微盘、文件全能王、QQ阅读。 漏洞复现方式大体相似,现在微盘为例: 在P
零授权 抓取新浪微博任何用户的微博内容
angjiu8534的博客
08-14 396
一、微博API   使用微博API获取数据是最简单方便,同时数据完整性高的方式,缺点是微博开发平台对于API的调用次数做了严格的限制。具体使用过程参考http://open.weibo.com/,有详细的教程,对于API次数的限制,我们是通过注册多个开发者账号来绕过,对于某个IP调用API次数的限制,暂时没办法解决。微博API是通过httpclient发起请求,返回json形式的数据。...
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 8万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
如何快速的获取微博内容?
qq_33294872的博客
05-08 1917
如何快速的获取微博内容?(只需要微博内容、发微博时间、微博作者三类信息) 注:不需要编程哦~用到的工具有txt文档、word、excel。 1.在电脑上登录网址 https://m.weibo.cn/ 2.在顶端的搜索框输入关键词,如“居家学习” 3.拖动页面右侧的滚动条一直向下拉,一直拉到所有内容加载完成。 4.此时,按Ctrl+A,全选,打开一个txt文档,可命名为“居家学习-初始数据”,将所有内容粘贴进去。这下我们就暂时得到了网页上面的所有数据咯~不过此时的数据格式不太好啦,还要进行其他操作
XSS防护策略及轮子
supertor的博客
02-26 1055
轮子 国人(支持node) https://github.com/leizongmin/js-xss/blob/master/README.zh.md 外国(仅限DOM-xss) https://github.com/cure53/DOMPurify XSS攻击类型 存储型 XSS 存储型 XSS 的攻击步骤: 1.攻击者将恶意代码提交到目标网站的数据库中。 2.用户打开目标网站时,网站服务端将...
全面解析新浪微博Android客户端开发流程
标题《Android新浪微博客户端开发》所指的知识点主要涵盖安卓平台下的社交类应用开发,特别是针对新浪微博这一具体应用的客户端开发过程。新浪微博作为中国领先的社交媒体平台,拥有庞大的用户群体和丰富的社交功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值