WooYun.org

http://fans.51job.com 这里的微博程序 全局没有做CSRF防御！
1.找一条微博，转发并抓包！

http://fans.51job.com/payservice/fans/ajax/weibo_ajax.php

type=8&optype=2&replyid=&noticeid=150110020596857&transmit=0&reply=0&content=转播评论的内容&interviews_transmit=0&sExtendTransmitType=&bExtendTransmit=0&sina_authorize=0&qq_authorize=0

虽然是个post包，但是可以构造get的形式直接来使用！

http://fans.51job.com/payservice/fans/ajax/weibo_ajax.php?type=8&optype=2&replyid=&noticeid=150110020596857&transmit=0&reply=0&content=转播评论的内容&interviews_transmit=0&sExtendTransmitType=&bExtendTransmit=0&sina_authorize=0&qq_authorize=0

因为没有对csrf做防御，所以我只要构造一个最简单的<img>标签，就可以把这个地址给代入到微博中来！
2.找了周边也没有合适的地方插入标签！ 然后把目标转向了其他子站！
恰巧，在my.51job.com这里的简历的地方，发现了一枚self xss.

起初因为这是个鸡肋的xss.无法对大局造成影响！所以没有太过注意！
后来发现了一点小端倪！

微博个人名字下面显示的内容恰巧就是个人简历中的“工作经验”一栏的内容。这样一个鸡肋的self xss就派上了用场！
3.根据上面介绍。把“工作经验”一栏的“公司”中，我写入<img>标签来把刚刚抓包得到的转播地址给代入进来！为了直观，我对长的地址进行了网址缩短！ 然后我在职位这里X入了xss跨站代码，顺道来截获转播人的cookie！

4.来看看效果吧！

下午配置的，蠕虫还没有彻底动起来！ 微博的名字够吸引人！ 因为只要鼠标触到我的头像上面！就会加载个人小介绍！因而触发蠕虫转播并获取到对方的cookie!