新年新气象，这个蠕虫我做了小范围测试，也提交了官方修复，小圈子里做了分享，这里正式对外公布下，出于研究而非破坏为目的，供大家参考。

IAMANEWBOTNAMEDCORSBOT
——-BOT PoC——-
http://evilcos.me/lab/IAMANEWBOTNAMEDCORSBOT.TXT

完整代码直接见上面这个链接即可。

里面需要特别注意的两个点：

1. Conten-Type是JSON
2. Origin是：huaban.com.al3rt.io，这个小技巧直接绕过花瓣的Origin判断

所以，蠕虫得以传播。

本质是：CORS(Cross-Origin Resource Sharing)的滥用导致，效果图：

最后，友情提示下：这个问题还是比较普遍的。脑洞怎么开，玩起来才会知道，不玩永远想不到:-)