创意安天

 找回密码
 注册创意安天

新浪微博微数据应用弹窗现象的简单判断

[复制链接]
发表于 2011-8-9 19:14:48 | 显示全部楼层 |阅读模式
本人是今晚值班工程师,在17:44接到用户电话反映,新浪微博应用“微数据”有弹出窗口现象。为此,我进行了简单的分析。
在试用新浪微博应用“微数据”时,点击“铁杆粉丝”项目(如图1)后,会看到如图2所示的弹出窗口(这不禁让我联想起来之前新浪微博的跨站攻击事件)。
不过,经过抓包分析,只看到了收集屏幕分辨率等一些信息的情况(如图3),但并未发现有XSS迹象,初步怀疑是“微数据”程序员留下的调试信息。
截止发帖时,该应用已被暂停使用(如图4)。

说明:作为刚毕业加入安天的菜鸟级分析师,本分析结论只代表个人意见,希望各位同事和网友给予指导。

sina_top3.jpg



图1



sina_2.jpg



图2



sina_pcap.jpg



图3



sina_board.JPG



图4

发表于 2011-8-9 19:40:09 | 显示全部楼层
哈哈,刚才还在围脖上说这个事,经过上次XSS,好象有点太敏感了。

出现这种情况的浏览器是IE 6。

起初我也以为是外部XSS,但是发觉URL和弹出对话框没有什么利用价值。

目前该对话框不再出现了。
发表于 2011-8-11 10:48:20 | 显示全部楼层
哈哈,刚才还在围脖上说这个事,经过上次XSS,好象有点太敏感了。

出现这种情况的浏览器是IE 6。

起初 ...
Kryson 发表于 2011-8-9 19:40



看来是虚惊一场。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2019-7-23 22:04

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表