新浪微博部分App Oauth2漏洞

2021-12-29 20:28:57 字數 619 閱讀 6371

新浪微博很多應用有數量眾多的使用者,judge.sinaapp.com和qmatch.sinaapp.com等都是微博中使用者量較大的應用,現在仍然存在oauth2的漏洞,可造成使用者隱私洩露等問題。

以judge.sinaapp.com為例

新浪授權頁面

可以將該頁面judge進行替換,例如

終端使用者的認證資訊就會傳送到惡意使用者的***x.sinaapp.com,***x.sinaapp.com可由任意使用者註冊,qmatch.sinaapp.com與此類似,此外還有大量微博應用存在這個問題。

以judge.sinaapp.com為例

新浪授權頁面

可以將該頁面judge進行替換,例如

終使用者的認證資訊就會傳送到惡意使用者的***x.sinaapp.com,qmatch.sinaapp.com與此類似,此外還有大量應用存在此問題。

修復方案:嚴格認證redirect_uri

新浪微博授權

一.建立應用 2.進入我的應用 3.建立應用 二.oauth的授權流程 你所開發的應用需要的流程如下 2.得到request token後重定向使用者到服務商的授權頁面 3.如果使用者選擇授權你的應用,用request token向服務商請求換取access token 4.得到access tok...

模擬新浪微博

1.專案效果圖 主要 如下 android layout width match parent android layout height match parent android padding 10dip android orientation vertical 2 獲取xml資源 在andro...

新浪微博的布局

import mjtabbaritem.h implementation mjtabbaritem id initwithframe cgrect frame itemdesc mjtabbaritemdesc desc return self pragma mark 覆蓋父類的2個方法 pragm...