文章揭示了新浪网站在安全方面存在的问题,包括未遵循基本的WEB开发原则,如不根据GET请求修改数据,以及对用户输入内容的过滤不足。尽管首页已进行XSS过滤,但在查看详细页面时仍存在XSS攻击漏洞,表明网站的安全措施尚待加强。
连一个十一流水平的WEB开发人员都知道的“不要根据GET请求的内容修改数据”都没有遵守。
如果所有更新操作的数据都检查一下是否是POST请求,会出现被人利用URL这种弱智的方法攻击吗?
攻击者甚至没有利用CSRF/XSS这些稍微智能一点的方法。几个月前测试过虽然首页显示的内容进行了
XSS过虑,但查看详细页面竟然能成功弹出XSS(Android手机客户端),这说明对用户输入的内容并不是
所有出口都进行了过虑。
不知道新浪是否有安信息全官这一角色,反正安全问题还处于入门级水平。
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
