新浪获取部分私信的接口存在jsonp劫持漏洞。
http://api.weibo.com/webim/2/direct_messages/contacts.json?source=209678993&count=200&add_virtual_user=5,&is_include_group=0&callback=STK_14511436516391
在登录微博的情况下访问以上接口会得到一个私信的列表,从中可以提取出部分私信已经双方的昵称来。这个接口做了referer检查,但是允许referer为空。用iframe的data伪协议即可绕过
构造获取信息并进行操作的页面。
用iframe解决referer问题。即最终payload为:
将上面代码保存为1.html,打开并且更改显示编码为UTF-8即可看到昵称和部分私信。