weibo API 漏洞

测试微博API引用页面

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>测试</title>
<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" /> 
</head>
<body>
<div id="weibocon"></div>
<script src="weiboapi.js"></script>
<script>
window.onload = weibo;
var wb = new weibo();
wb.init(
	null,
	"img",//参数说明:text-文本微博;img-选择图片发微博;trend-获取话题列表
	{
		topic:encodeURI("装修"),//当第2个参数为trend时起作用
		count:10,
		length:30,
		zturl:document.location.href//也可以指定专题链接,如:http://jiaju.sina.com.cn/news/zt/zturl.html
	}
);
wb.showmsg();
</script>
</body>
</html>
测试微博API

/*
*author:武明礼
*for:test
*developed at :2011.8.29
*Copyright 2011. All rights reserved.
*/
 
document.write(‘<script type="text/javascript" src="jquery-1.6.1.min.js"><\/scr‘+‘ipt>‘);//引入jQuery
document.write(‘<script type="text/javascript" src="http://i.sso.sina.com.cn/js/sinaSSOManager.js"></scr‘+‘ipt>‘);//引入SSO
//document.location.host = ‘sina.com.cn‘;
function weibo(){};
weibo.prototype = {
	init:function(action,type,style){
		switch(type){
			case "text":
				var zturl = style.zturl;
				initText(zturl);
				break;
			case "img":
				initImgWeibo();
				break;
			case "trend":
				var con = style.topic;
				var ct = style.count;
				var len = style.length;
				trend(con,ct,len);
				break;
		}
	},
	uinfo:function(){
		return sinaSSOManager.getSinaCookie();
		/*
		return data:
		ag		"8"
		dob		"1982-09-01"
		email	"[email protected]"
		nick	"站在岸上的鱼"
		sex		"1"
		ssl		"0"
		uid		"1627910305"
		user	"mingli.cn"
		*/
	}
}
weibo.prototype.showmsg = function(){
	alert(this.unifo);
}
 
//话题
function trend(content,count,len){
	var count = count || 10;
	var style = ‘<style>#trendlist li {font-size:12px;height:25px; line-height:25px;}<\/style>‘;
	document.write(style);
	var html = ‘<ul id="trendlist" style="font-size:12px;">‘;
	var url = "http://supports.jiaju.sina.com.cn/api/weibo.php?action=trend&trend="+content+"&page=1&count=" +count+ "&callback=?";
	$.getJSON(url,
	function(data) {
		var dt = data.statuses;
		for (var i=0; i < dt.length;i++ )
		{
			document.write(‘<li style="height:25px; line-height:25px;font-size:12px;">‘+dt[i].text.substr(0,len)+‘</li>‘);
		}
    });
	html += "</ul>";
	document.write(html);
}
 
//初始化纯文本微博
function initText(url){
	var html = ‘<div id="textweibo"><textarea name="content" id="content" rows="5" cols="30"></textarea><br /><input type="submit" id="fbbtn" value="发布"><br /><br /></div>‘;
	document.write(html);
	$(‘#fbbtn‘).bind("click",function(){
		var text = $("#content").val();
		send(1,null,encodeURI(text),url);
	});
}
//初始化图片主传类微博
function initImgWeibo(){
	var html = ‘<form name="form" method="post" enctype="multipart/form-data" action="http://supports.jiaju.sina.com.cn/api/weibo.php?action=send&file_tag_name=upfile&type=3"><textarea name="content" id="content" rows="5" cols="30"></textarea><br /><input type="file" id="upfile" name="upfile"> <input type="submit" value="提交"></form>‘;
	document.write(html);
}
 
//发布微博
function send(type,pic,content,url){
	var link=‘‘;
	if(type == 1 && pic == null){
		link="http://supports.jiaju.sina.com.cn/api/weibo.php?action=send&type="+type+"&content="+content+" "+url+"&callback=?";
	}
	else if(type == 2 && pic!=‘‘){
		link="http://supports.jiaju.sina.com.cn/api/weibo.php?action=send&type="+type+"&content="+content+" "+url+"&url="+pic+"&callback=?";
	}
 
    $.getJSON(link,
    function(data) {
		if(data==‘-1‘){
		  alert(‘未登录,请先登录‘);
		 }else if(data==‘-2‘){
		   alert(‘您还没有开通微博!‘);
		 }else if(data.error_code==‘20019‘){
		   alert(‘内容重复,不要太贪心哦~‘);
		 }else if(data.error_code==‘10016‘){
		   alert(‘内容为空,禁止发布!‘);
		 }else if(data.mid>0){
		   alert(‘发布成功‘);
		 }else{
			alert(‘发布失败:Error info:‘+data.error);
		 }
    });
}
//转发
function transmit(){
	var content=$("#content").val();
	var url ="http://supports.jiaju.sina.com.cn/api/weibo.php?action=transmit&content="+content+"&wid=3362282635551012&callback=?";
	$.getJSON(url,
    function(data) {
		alert(data.id);
    });
}
//评论
function comment(){
	var content=$("#content").val();
	var url ="http://supports.jiaju.sina.com.cn/api/weibo.php?action=comment&content="+content+"&wid=3362282635551012&callback=?";
	$.getJSON(url,
    function(data) {
		alert(data.id);
    });
}
//关注
function follow(uid){
	var url ="http://supports.jiaju.sina.com.cn/api/weibo.php?action=followme&uid="+uid+"&callback=?";
	$.getJSON(url,
    function(data) {
		if (data.id || data.error_code == 20506)
		{
			alert("已关注");
		}
    });
}

原地址:http://mingli-sina-cn.iteye.com/code

时间: 2024-10-27 12:55:26

weibo API 漏洞的相关文章

CVE-2018-4990 漏洞详情分析

测试版本:AcroRdrDC1700920044_en_US 漏洞模块: Escript.api 漏洞函数 修复函数 问题分析 拷贝对象的时候把DWORD类型的对象地址作为BYTE类型进行了拷贝,堆对象拷贝溢出漏洞.对象偏移在0x50的地方,也就是错误的位置. Javascript里面喷射的对象代码. 修复方案 定位到问题很好修复. ROP技术 使用EScript.api模块作为ROP执行地址,基址为69260000,ROP表如下. 0D130064 692E2803 EScript.692E2

SQL注入-攻入Apple ID钓鱼网站实录

之前写的一篇利用SQL注入方式攻击钓鱼网站的文章,现在在博客园再分享一下. 下午,朋友发了一条朋友圈,内容大概这样: 大体就是她的iPhone丢了,收到了钓鱼短信,多么熟悉的套路,如下: 还好她比较机智,发现是个钓鱼网站,地址如下: http://www.apple-icloudid.com.cn 当时看到这件事后,想到之前有巨巨顺势搞定钓鱼网站,所以我也想小试牛刀一下,看看能否攻入钓鱼网站后台. 在试了几轮PHP常见后台地址后,比如/admin,/index.php/admin,均未奏效,索性

motan服务启动

motan(https://github.com/weibocom/motan.git)是微博开源出来的一款轻量级RPC框架,结合Spring食用,配置简单易上手.之前搞过facebook开源的thrift框架,thrift虽然支持众多语言,但像服务注册与发现.负载均衡这些重要的功能都没有提供,自己实现的费时费力又不稳定,最总还是放弃了. 这次说说motan的启动: 先说一下Spring的BeanPostProcessor接口,该接口中定义了两个方法: public interface Bean

Ajax与JSON使用教程

Ajax与JSON使用教程1.1.1 摘要 Ajax技术的核心是XMLHttpRequest对象(简称XHR),可以通过使用XHR对象获取到服务器的数据(入门教程qkxue.net),然后再通过DOM将数据插入到页面中呈现(腾云科技ty300.com).虽然名字中包含XML,但Ajax通讯与数据格式无关,所以我们的数据格式可以是XML或JSON等格式. XMLHttpRequest对象用于在后台与服务器交换数据,具体作用如下: 在不重新加载页面的情况下更新网页    在页面已加载后从服务器请求数

Ajax与JSON的一些总结

1.1.1 摘要 Ajax技术的核心是XMLHttpRequest对象(简称XHR),可以通过使用XHR对象获取到服务器的数据,然后再通过DOM将数据插入到页面中呈现.虽然名字中包含XML,但Ajax通讯与数据格式无关,所以我们的数据格式可以是XML或JSON等格式. XMLHttpRequest对象用于在后台与服务器交换数据,具体作用如下: 在不重新加载页面的情况下更新网页 在页面已加载后从服务器请求数据 在页面已加载后从服务器接收数据 在后台向服务器发送数据 本文目录 XMLHttpRequ

接入新浪、腾讯微博和人人网的Android客户端实例 接入新浪、腾讯微博和人人网的Android客户端实例

做了个Android项目,需要接入新浪微博,实现时也顺带着研究了下腾讯微博和人人网的Android客户端接入,本文就跟大家分享下三者的Android客户端接入方法. 一.实例概述 说白了,接入微博就是让你的应用程序可以调用新浪微博,腾讯微博和人人网的api,实现微博发送,分享给好友等等的功能啦.当然也可以实现让你的客户端使用微博账号进行登录.我们这篇文章要讲的就是访问这些社交平台提供的api的时候比较关键的一步,获取调用api接口的token,token可以理解为我们的客户端程序与社交平台api

浅谈Web的流量控制

想聊一聊流量控制,谈谈的重要性,解决了哪些业务问题,那我们问题来进入正题. 1.WEB容器如何流量控制? 一个Tomcat的容器,这个容器呢,部署在一台服务器上面,同时这台服务器的资源非常非常有限,这台服务器只能同时让500个请求访问,若是多余500个的话,这样服务器的资源就会打满,那么我们肯定需要想办法这些问题的.Tomcat本身就有这样的机制,因为每一个请求过来后,tomcat会为这个请求分配一个处理线程,所以tomcat就是来控制处理线程的数量. server.xml <Connector

motan源码分析五:cluster相关

上一章我们分析了客户端调用服务端相关的源码,但是到了cluster里面的部分我们就没有分析了,本章将深入分析cluster和它的相关支持类. 1.clustersupport的创建过程,上一章的ReferConfig的initRef()方法中调用了相关的创建代码: for(Iterator iterator = protocols.iterator(); iterator.hasNext();) { ProtocolConfig protocol = (ProtocolConfig)iterat

C# Cache的一些总结

最近我们的系统面临着严峻性能瓶颈问题,这是由于访问量增加,客户端在同一时间请求增加,这迫使我们要从两个方面解决这一问题,增加硬件和提高系统的性能. 大家可以通过各种各样的方法去优化我们系统,本篇博文将介绍通过Cache方法来优化系统的性能,减轻系统的负担. 本文目录 不同位置的缓存 ASP.NET中的缓存 输出缓存 客户端缓存 Query String缓存 自定义缓存控件 片段缓存 数据缓存 SqlDataSource缓存 缓存的依赖关系 1.1.2 正文 不同位置的缓存 在Web应用程序中的使