CSRF导致新浪微博应用自动授权及修复方案 - 网站

利用此 漏洞 ，第三方应用开发者可以在用户还没有点击授权按钮时，让用户在不知情的情况下自动授权其应用。From @齐萌 详细说明： 新浪微博对于第三方应用授权使用微博数据，是使用OAuth协议进行认证。第三方应用需要使用用户数据时，需要用户登录后点击授权按钮才可进行。 但是由于授权按钮提交表单数据全可预知，因此使用csrf，构造类似表单自动提交，即可让已经登录的用户在不知情的情况下授权第三方应用。 漏洞证明：         修复方案： 请注意增加token等措施防范

查看更多关于CSRF导致新浪微博应用自动授权及修复方案 - 网站的详细内容...