分享一个jsonp劫持造成的新浪某社区CSRF蠕虫

【分享一个jsonp劫持造成的新浪某社区CSRF蠕虫】的更多相关文章

分享一个jsonp劫持造成的新浪某社区CSRF蠕虫

最近jsonp很火,实话说已经是被玩烂了的,只是一直没有受到大家的重视.正好在上个月,我挖过一个由于jsonp造成的新浪某社区CSRF,当时是为了准备一篇文章,之后这篇文章也会拿出来分享. 因为新浪已经修复了问题,所以我先把这个漏洞分享出来.以下是当时写的部分文章. 0x01 引子听说新浪五月送衣服,我其实也没太多空去挖洞.本来想交一个两年前挖的CSRF刷粉,结果拿出来一看那洞早没了,目标站都换了. 详细说,就是我那个洞被302跳转到新浪股吧(http://guba.sina.com.cn/)…

【网站开发】在新浪SAE上搭建一个博客

概述在新浪SAE上搭建一个博客 1.访问新浪SAE站点 http://sae.sina.com.cn/ 2.注册新浪SAE 3.选择应用仓库 4.选择WordPress 5.安装WordPress 6.填写二级域名 7.创建成功后,打开站点 http://doitblog.sinaapp.com/…

【玩转微信公众平台之六】搭建新浪SAEserver

赶紧接上一篇继续讲. ------本篇将介绍怎样搭建新浪SAEserver.猛戳 http://sae.sina.com.cn/1.先自己注冊一个账号,假设有新浪的账号,微博之类的都能够直接拿来用,授权一下就能够,例如以下: 2.接下来会让你填写一些安全设置,自己依据要求如实填写就能够了.要注意的是,你设置的安全password别忘了,原因例如以下: 看的懂就好,看不懂也罢,我们继续往下走.3.注冊的最后一步是手机绑定 ,将你手机收到的验证码输入进去就可以.这些都没啥难度,我就不多说了.注冊…

新浪sae 项目之 git 配置

新浪sae 项目现在支持git 配置了,但是有好多人配置不成功.下面对这个问题进行一个总结. 1. 在新浪云上面新建项目(该步骤省略) 2. 一般新建完毕后,会让你选择代码的管理工具,如下注意这里,使用 git 之后,就不能再使用其他的方式对代码进行管理.我们选择git 方式,然后确定. 3. 查看生成的远端项目地址一般一个项目新建完毕后,我们会在网页上看到上面信息,注意sae 版本信息,意味着,1,2, 实际上代表的是你在本地一个1.2 的文件夹. 4. 本地同步远端代码 ①初始化本地gi…

【玩转微信公众平台六】构建新浪SAEserver

连接急于继续发言. ------本文主要介绍介绍如何设置新浪SAEserver.猛戳 http://sae.sina.com.cn/1.先自己注冊一个账号,假设有新浪的账号,微博之类的都能够直接拿来用.授权一下就能够,例如以下: 2.接下来会让你填写一些安全设置.自己依据要求如实填写就能够了.要注意的是,你设置的安全password别忘了,原因例如以下: watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvc3RhcjUzMA==/font/5a6L5L2…

在新浪sae上部署WeRoBot

花了整整一个下午,终于在新浪sae部署完成WeRoBot,现在将其中的曲折记录下来. 首先下载WeRoBot-SAE-demo,按照README.md中的要求,执行下述命令: git clone git://github.com/whtsky/WeRoBot-SAE-demo.git cd WeRoBot-SAE-demo virtualenv --no-site-packages . source bin/activate pip install sae-python-dev saecloud…