X/Twitter安全系統(tǒng)似乎存在漏洞 可以冒充任意知名網(wǎng)站發(fā)帖 – 藍(lán)點(diǎn)網(wǎng)
在 X/Twitter 上,安全如果網(wǎng)站已經(jīng)按照開發(fā)者規(guī)范要求在網(wǎng)頁(yè)源代碼里添加了標(biāo)頭等數(shù)據(jù),系統(tǒng)則這個(gè)網(wǎng)站的似乎哈爾濱外圍(外圍預(yù)約)外圍價(jià)格(電話微信199-7144-9724)鴛鴦浴水中簫、制服誘惑絲襪任何地址發(fā)布到 X 上時(shí),都會(huì)額外顯示網(wǎng)站域名以及圖片等數(shù)據(jù)。存漏
要實(shí)現(xiàn)此功能 X 的冒充爬蟲需要在用戶發(fā)布內(nèi)容時(shí)第一時(shí)間對(duì)目標(biāo)鏈接進(jìn)行抓取,如果抓取無(wú)法那就可以顯示完整信息,任意并且后續(xù)變更后已經(jīng)被抓取的知名數(shù)據(jù)也不會(huì)變更。
于是網(wǎng)站網(wǎng)這就產(chǎn)生了一個(gè)安全問(wèn)題:有詐騙者在 X 上冒充知名新聞網(wǎng)站福布斯發(fā)布加密貨幣相關(guān)的內(nèi)容,吸引幣圈用戶加入他們的發(fā)帖哈爾濱外圍(外圍預(yù)約)外圍價(jià)格(電話微信199-7144-9724)鴛鴦浴水中簫、制服誘惑絲襪社群,然后操作一些垃圾幣來(lái)收割。藍(lán)點(diǎn)
從下圖中我們可以看到這種惡意利用的安全流程:
詐騙者在服務(wù)器上進(jìn)行了 HTTP 302 臨時(shí)重定向,當(dāng)檢測(cè)到不同的系統(tǒng) UserAgent 時(shí),可以返回不同的似乎臨時(shí)重定向地址。
其中第一個(gè)測(cè)試截圖是存漏不使用任何瀏覽器 UA 的情況下,模擬 X 爬蟲系統(tǒng)進(jìn)行抓取 (實(shí)際上 X 有爬蟲,冒充叫做 TwitterBot,但沒有其他 UA 信息,見結(jié)尾附注 1),此時(shí)詐騙網(wǎng)站沒有檢測(cè)到有效的瀏覽器 UA,于是返回了福布斯網(wǎng)站的一個(gè)鏈接。
于是 X 會(huì)在推文發(fā)布后將其標(biāo)注為來(lái)自福布斯網(wǎng)站。
第二個(gè)測(cè)試截圖在附帶瀏覽器 UA 的情況下,可以看到這個(gè)詐騙網(wǎng)站返回了他們的目標(biāo)地址,那就是那個(gè)社群。
而用戶正常點(diǎn)擊鏈接那肯定是附帶瀏覽器 UA 信息的,所以實(shí)際上點(diǎn)擊都是返回社群地址,第一種情況僅僅只是用來(lái)迷惑 X 的爬蟲。
值得注意的是,這種情況并不是現(xiàn)在才發(fā)生的,至少?gòu)娜ツ?8 月開始已經(jīng)有詐騙者使用這種方法進(jìn)行釣魚,不過(guò)至今 X 也沒有解決這類問(wèn)題。
附注 1:
X/Twitter 爬蟲的完整信息:TwitterBot/1.0