撰文:shingle、Frank,Foresight News
最新消息:Paradigm 研究员 samczsun 再次发推称,Twitter 漏洞已修复,技术摘要为 Twitter 子域中的反射 XSS 和 CORS/CSP 旁路允许以本地验证用户身份对 Twitter API 进行任意请求。
以下为原文:今日上午,加州伯克利分校博士研究生 Chaofan Shou 发推披露,发现 Twitter 存在未修复的漏洞,随后 Paradigm 研究员 samczsun 援引 Chaofan Shou 表示,用户如果点击了黑客准备的链接,黑客就能完全访问你的 Twitter 账户,包括可以发推、转发、点赞、屏蔽等。
截至发文时,Twitter 尚未就此发布官方声明,Foresight News 在此简单分析了下该漏洞的攻击逻辑,以及普通用户的安全须知与防范手段。
漏洞攻击逻辑
本次被爆的推特漏洞属于 xss 攻击,即代码注入攻击——攻击者可以提前构造好带有恶意代码的网站链接,用户点击之后就会在网页上执行恶意代码。
比如给出的例子中,恶意代码被 base64 编码后执行,实际执行的是 alert(‘XSS PoC here’)。
当用户访问这个恶意链接,网页就会执行这段代码,弹窗出该字符串:
用户如何防范?
因为这种构造代码是需要放在网址里的,就会导致恶意链接的长度很长。
因此用户在刷推遇到超长的链接时,不要点击!或者实在想看,可以复制出来,开个浏览器无痕模式查看。
总之,不要在登陆 Twitter 账户的浏览器上点击不明长链接。
如果万一不幸中招,立即修改推特密码即可,这种攻击最有价值的是是盗取你的推特 auth_token,修改密码会导致之前的 auth_token 失效。
文章来源于互联网:「核弹级」漏洞砸中 Twitter,黑客可以控制你的账户?
相关推荐: 如何为比特币添加 Omnichain 互操作性?ZetaChain 给出了全新的答案
相比于互操作性的「工具」,ZetaChain 选择直接将链本身作为 Omnichain 的「中心」。 撰文:Gou,Foresight News Web3 对于「跨链」的叙事已从最早的「桥」过渡到了「全链互操作性」,虽然桥本身仍然有存在的必要和价值,但市场的关…
相关文章
