漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新浪微博关注CSRF
相关厂商:新浪
提交时间:2013-06-22 12:01
修复时间:2013-06-24 09:43
公开时间:2013-06-24 09:43
漏洞类型:CSRF
危害等级:中
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-06-22: 细节已通知厂商并且等待厂商处理中
2013-06-24: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
关注CSRF,POST类型。
详细说明:
API出现位置:
http://us.weibo.com/api/create_friend
没有判断token referer咩的,只有u内容为微博id,好了,测试一下。
漏洞证明:
页面保存 u值为微博id 默认关注乌云微博。
修复方案:
版权声明:转载请注明来源 0x0F@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-06-24 09:43
厂商回复:
经过验证,未发现安全漏洞问题。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进。
最新状态:
暂无
漏洞评价:
评论
-
2013-06-22 12:30 |
海绵宝宝 ( 普通白帽子 | Rank:243 漏洞数:50 | 唯有梦想与好姑娘不可辜负.)
-
2013-06-22 13:41 |
HRay ( 普通白帽子 | Rank:196 漏洞数:28 | 018)
-
2013-06-22 13:58 |
疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)
-
2013-06-22 13:59 |
f4tb0y ( 路人 | Rank:11 漏洞数:2 | 做人要低调。)
-
2013-06-22 13:59 |
circus ( 实习白帽子 | Rank:54 漏洞数:4 | 你会为一件事去说一句话,也会为一句话去干...)
-
2013-06-22 14:13 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
-
2013-06-22 14:25 |
鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:41 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)
-
2013-06-22 14:26 |
冷静 ( 路人 | Rank:3 漏洞数:2 )
-
2013-06-22 14:52 |
her0ma ( 核心白帽子 | Rank:598 漏洞数:83 | 专注小厂商三十年!)
-
2013-06-22 15:43 |
性感的蛐蛐 ( 路人 | Rank:0 漏洞数:2 | 少年,母猪喊你回家拱地!)
-
2013-06-22 20:05 |
基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)
-
2013-06-23 00:15 |
Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)
-
2013-06-24 09:45 |
冰杰 ( 实习白帽子 | Rank:53 漏洞数:6 | 彩笔是我...)
-
2013-06-24 12:21 |
_Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)
-
2013-06-24 13:07 |
0x0F ( 普通白帽子 | Rank:231 漏洞数:60 | 尖刀安全 (JDSec.Com).......................)
-
2013-07-01 09:28 |
Hello_C ( 路人 | Rank:0 漏洞数:1 | 谦和温顺且自持的生活,不乱于心,不困于情...)
-
2013-08-26 10:45 |
whirlwind ( 实习白帽子 | Rank:34 漏洞数:7 | 极光肖风)
{"error":5000,"msg":"Error: unaccepted request! Wrong Referer!"}
-
2013-08-27 13:22 |
0x0F ( 普通白帽子 | Rank:231 漏洞数:60 | 尖刀安全 (JDSec.Com).......................)
@whirlwind 我之前测试的时候,还是成功,特么的!
-
2013-08-27 18:02 |
whirlwind ( 实习白帽子 | Rank:34 漏洞数:7 | 极光肖风)
