thinksns最新版微博某处配置不当可引发大规模蠕虫

2013-04-28T00:00:00
ID SSV:94268
Type seebug
Reporter Root
Modified 2013-04-28T00:00:00

Description

简要描述:

详细说明:

首页发微博处未验证token,导致可以通过一个精心构造的表单使用户发一个带有链接的微博,点击链接后的用户又会干相同的事,一传十,十传百,将会引发大规模蠕虫。

<img src="https://images.seebug.org/upload/201304/28143541dac5ce1c59a4cd274ddc4c49f519d431.jpg" alt="testtest.jpg" width="600" onerror="javascript:errimg(this);">

漏洞证明:

POC:

None

<img src="https://images.seebug.org/upload/201304/281437122fca54ec24aec128747df92134eab501.jpg" alt="2222.jpg" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201304/28143726aa3db4396ce468e3ba96141d4949cfa6.jpg" alt="3333.jpg" width="600" onerror="javascript:errimg(this);">