今天在幻影旅团上有人公布了这个漏洞：

d41K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4S2W2P5h3g2@1k6h3q4E0i4K6u0W2j5i4m8H3M7%4m8G2N6q4)9J5k6h3y4G2L8g2)9J5c8U0t1H3x3e0m8Q4x3V1j5H3y4#2)9J5c8U0t1J5i4K6u0r3M7X3g2F1M7X3g2F1i4K6u0V1N6$3q4H3i4K6u0V1j5i4g2@1K9r3g2F1N6r3W2U0j5i4c8A6L8$3&6Q4x3X3c8@1L8$3E0W2L8W2)9J5k6s2y4@1k6h3q4D9i4K6u0W2K9s2c8E0L8l9`.`.

这个漏洞其实就是我之前在博客及看雪上提到的，见这：
478K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0A6N6i4y4C8M7$3E0Q4x3X3g2T1L8r3!0Y4j5Y4g2K6i4K6u0W2j5$3!0E0i4K6u0r3L8r3!0Y4M7#2)9J5c8U0j5$3x3o6f1$3z5e0f1$3i4K6u0W2K9s2c8E0L8l9`.`.
或者这里：
http://bbs.pediy.com/showthread.php?t=115128

当初发现这个漏洞纯属意外，因为这个token是需要通过referer盗取，比如以下代码就可获取referer:

<?php
$referer = (!empty($_SERVER['HTTP_REFERER'])) ? $_SERVER['HTTP_REFERER'] : 'Unspecified';
echo  htmlspecialchars("$referer");
?>

而刚好trojancyborg同学先浏览了他的人人网wap主页，估计是用手机上的，然后再转到 我的博客，这样他的referer就没记录在博客大巴的管理中心里面的访问来源里，其中就包含有这个认证token,它可直接通过url提交绕过身份验 证，即url authentication token。访问URL格式如下：

1b3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0y4Y4i4K6u0W2M7X3g2F1M7X3g2F1i4K6u0W2j5$3!0E0i4K6u0r3M7s2u0G2k6X3W2D9k6g2)9J5k6h3c8G2i4K6y4r3K9h3c8Q4x3@1b7J5y4U0y4Q4x3V1y4Q4x3V1p5$3x3#2)9J5b7#2)9J5b7g2)9J5b7e0u0Q4x3U0k6K6K9h3c8Q4x3@1b7#2y4o6x3%4j5$3g2Q4x3V1q4Q4x3V1q4Q4x3V1p5K6j5K6m8V1y4h3b7I4y4o6f1%4i4K6u0m8i4K6u0m8i4K6u0m8i4K6u0m8i4K6u0m8z5o6g2X3y4X3j5K6k6e0x3J5i4K6t1$3z5h3q4Y4L8r3c8C8i4K6t1$3K9s2c8X3i4K6y4p5x3R3`.`. (为安全起见，用*号过滤掉)

这 个也可以结合XSS来盗取referer，正如盗取cookie一样，只是比用cookie更方便一些，毕竟它直接通过URL即可获取对方主页的管理权限 了。但也需要一定的运气，对方得从人人网的wap页面中跳转过来才行。如果大伙有什么更好的盗取方式，希望告之一下！当时在trojancyborg同学主页上发了篇日志，恶搞一下，还好他大人有大量，没找俺麻烦，呵呵……

对于这种漏洞的防御方法 ，正如余弦大牛在paper中所说的：使用cookie认证方式（可惜哥的破手机N3100不支持cookie），或者过滤一切可获取referer的对象，比如：

▪ html tags: img/iframe/a/area/…
▪ css styles: background:url()/@import/moz‐binding/…

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课