「核弹级」漏洞砸中 Twitter,黑客可以控制你的账户?
如何防范?刷推遇到超长链接,不要点击!万一不幸中招,立即修改密码即可。
撰文:shingle、Frank,Foresight News
最新消息:Paradigm 研究员 samczsun 再次发推称,Twitter 漏洞已修复,技术摘要为 Twitter 子域中的反射 XSS 和 CORS/CSP 旁路允许以本地验证用户身份对 Twitter API 进行任意请求。
以下为原文:今日上午,加州伯克利分校博士研究生 Chaofan Shou 发推披露,发现 Twitter 存在未修复的漏洞,随后 Paradigm 研究员 samczsun 援引 Chaofan Shou 表示,用户如果点击了黑客准备的链接,黑客就能完全访问你的 Twitter 账户,包括可以发推、转发、点赞、屏蔽等。
截至发文时,Twitter 尚未就此发布官方声明,Foresight News 在此简单分析了下该漏洞的攻击逻辑,以及普通用户的安全须知与防范手段。
漏洞攻击逻辑
本次被爆的推特漏洞属于 xss 攻击,即代码注入攻击——攻击者可以提前构造好带有恶意代码的网站链接,用户点击之后就会在网页上执行恶意代码。
比如给出的例子中,恶意代码被 base64 编码后执行,实际执行的是 alert(‘XSS PoC here’)。
当用户访问这个恶意链接,网页就会执行这段代码,弹窗出该字符串:
用户如何防范?
因为这种构造代码是需要放在网址里的,就会导致恶意链接的长度很长。
因此用户在刷推遇到超长的链接时,不要点击!或者实在想看,可以复制出来,开个浏览器无痕模式查看。
总之,不要在登陆 Twitter 账户的浏览器上点击不明长链接。
如果万一不幸中招,立即修改推特密码即可,这种攻击最有价值的是是盗取你的推特 auth_token,修改密码会导致之前的 auth_token 失效。
If you find submirror valuable, please consider donate to wong2.eth to help cover server cost.
如何防范?刷推遇到超长链接,不要点击!万一不幸中招,立即修改密码即可。
撰文:shingle、Frank,Foresight News
最新消息:Paradigm 研究员 samczsun 再次发推称,Twitter 漏洞已修复,技术摘要为 Twitter 子域中的反射 XSS 和 CORS/CSP 旁路允许以本地验证用户身份对 Twitter API 进行任意请求。
以下为原文:今日上午,加州伯克利分校博士研究生 Chaofan Shou 发推披露,发现 Twitter 存在未修复的漏洞,随后 Paradigm 研究员 samczsun 援引 Chaofan Shou 表示,用户如果点击了黑客准备的链接,黑客就能完全访问你的 Twitter 账户,包括可以发推、转发、点赞、屏蔽等。
截至发文时,Twitter 尚未就此发布官方声明,Foresight News 在此简单分析了下该漏洞的攻击逻辑,以及普通用户的安全须知与防范手段。
漏洞攻击逻辑
本次被爆的推特漏洞属于 xss 攻击,即代码注入攻击——攻击者可以提前构造好带有恶意代码的网站链接,用户点击之后就会在网页上执行恶意代码。
比如给出的例子中,恶意代码被 base64 编码后执行,实际执行的是 alert('XSS PoC here')。
当用户访问这个恶意链接,网页就会执行这段代码,弹窗出该字符串:
用户如何防范?
因为这种构造代码是需要放在网址里的,就会导致恶意链接的长度很长。
因此用户在刷推遇到超长的链接时,不要点击!或者实在想看,可以复制出来,开个浏览器无痕模式查看。
总之,不要在登陆 Twitter 账户的浏览器上点击不明长链接。
如果万一不幸中招,立即修改推特密码即可,这种攻击最有价值的是是盗取你的推特 auth_token,修改密码会导致之前的 auth_token 失效。
If you find submirror valuable, please consider donate to wong2.eth to help cover server cost.
申明:本站所发布文章仅代表个人观点,不代表链嗅网立场。
提示:投资有风险,入市须谨慎。本资讯不作为投资理财建议。
相关推荐
-
给习总书记“讲”区块链的陈纯院士是谁?区块链独角兽公司董事长
据天眼查显示,陈纯的个人简介是:趣链科技董事长,中国工程院信息与电子工程学部院士,浙江大学计算机科学与技术学院教授兼浙江省计算机学会理事长。
-
USTC 暴拉背后,Mint Cash 将要重建稳定币与 Anchor?
Mint Cash 空投「本质上是允许用 USTC 参与 IDO」,USTC 按 1 美元估值似乎只是团队玩弄的一个「障眼法」。
撰文:Frank,Foresight News
昨夜 23:00,原 Terra 生态稳定币 UST(USTC)突然直线起飞,1 小时内从 0.02 USDT 一度触及 0.05 USDT,涨幅 250%,截至发文时仍维持在 0.0414 USDT 左右,创一年来新高。老树开新花,作为在不少人心里已经是「失败项目」的 LUNC/USTC,成功凭借着此间的拉盘吸引大…
-
「1·23」跌入技术性熊市,加密市场难逃「TradFi 魔咒」?
「马后炮」来看,加密历史上每次 TradFi 里程碑事件,都是市场阶段性见顶的预兆。
撰文:Frank,Foresight News
ETF 尘埃落定之后,再无新叙事扛起牛市大旗?
市场情绪愁云惨淡之下,比特币迎来「明牌大跌」:继 1 月 23 日凌晨跌破 4 万美元的整数大关之后(OKX 现货数据,下同),今日 15:00 起再度下行,一度跌破 39000 USDT 的整数关口,24 小时跌幅超 4.4%。
ETH 也在 24 小时内连续跌破 2400 USDT、2300 USDT 的整数关口…
