新浪被黑，完全和技术无关，101%的安全意识问题。

连一个十一流水平的WEB开发人员都知道的“不要根据GET请求的内容修改数据”都没有遵守。

如果所有更新操作的数据都检查一下是否是POST请求，会出现被人利用URL这种弱智的方法攻击吗?

 

攻击者甚至没有利用CSRF/XSS这些稍微智能一点的方法。几个月前测试过虽然首页显示的内容进行了

XSS过虑，但查看详细页面竟然能成功弹出XSS(Android手机客户端)，这说明对用户输入的内容并不是

所有出口都进行了过虑。

 

不知道新浪是否有安信息全官这一角色，反正安全问题还处于入门级水平。