新浪微博微数据应用弹窗现象的简单判断

本人是今晚值班工程师，在17：44接到用户电话反映，新浪微博应用“微数据”有弹出窗口现象。为此，我进行了简单的分析。
在试用新浪微博应用“微数据”时，点击“铁杆粉丝”项目（如图1）后，会看到如图2所示的弹出窗口（这不禁让我联想起来之前新浪微博的跨站攻击事件）。
不过，经过抓包分析，只看到了收集屏幕分辨率等一些信息的情况（如图3），但并未发现有XSS迹象，初步怀疑是“微数据”程序员留下的调试信息。
截止发帖时，该应用已被暂停使用（如图4）。

说明：作为刚毕业加入安天的菜鸟级分析师，本分析结论只代表个人意见，希望各位同事和网友给予指导。

图1

图2

图3

图4

哈哈，刚才还在围脖上说这个事，经过上次XSS，好象有点太敏感了。

出现这种情况的浏览器是IE 6。

起初我也以为是外部XSS，但是发觉URL和弹出对话框没有什么利用价值。

目前该对话框不再出现了。

哈哈，刚才还在围脖上说这个事，经过上次XSS，好象有点太敏感了。

出现这种情况的浏览器是IE 6。

起初 ...
Kryson 发表于 2011-8-9 19:40

看来是虚惊一场。