X/Twitter安全系统似乎存在漏洞 可以冒充任意知名网站发帖 – 蓝点网
我要评论在 X/Twitter 上,安全如果网站已经按照开发者规范要求在网页源代码里添加了标头等数据,系统则这个网站的似乎任何地址发布到 X 上时,都会额外显示网站域名以及图片等数据。存漏
要实现此功能 X 的冒充爬虫需要在用户发布内容时第一时间对目标链接进行抓取,如果抓取无法那就可以显示完整信息,任意并且后续变更后已经被抓取的知名数据也不会变更。
于是网站网这就产生了一个安全问题:有诈骗者在 X 上冒充知名新闻网站福布斯发布加密货币相关的内容,吸引币圈用户加入他们的发帖社群,然后操作一些垃圾币来收割。蓝点
从下图中我们可以看到这种恶意利用的安全流程:
诈骗者在服务器上进行了 HTTP 302 临时重定向,当检测到不同的系统 UserAgent 时,可以返回不同的似乎临时重定向地址。
其中第一个测试截图是存漏不使用任何浏览器 UA 的情况下,模拟 X 爬虫系统进行抓取 (实际上 X 有爬虫,冒充叫做 TwitterBot,但没有其他 UA 信息,见结尾附注 1),此时诈骗网站没有检测到有效的浏览器 UA,于是返回了福布斯网站的一个链接。
于是 X 会在推文发布后将其标注为来自福布斯网站。
第二个测试截图在附带浏览器 UA 的情况下,可以看到这个诈骗网站返回了他们的目标地址,那就是那个社群。
而用户正常点击链接那肯定是附带浏览器 UA 信息的,所以实际上点击都是返回社群地址,第一种情况仅仅只是用来迷惑 X 的爬虫。
值得注意的是,这种情况并不是现在才发生的,至少从去年 8 月开始已经有诈骗者使用这种方法进行钓鱼,不过至今 X 也没有解决这类问题。
附注 1:
X/Twitter 爬虫的完整信息:TwitterBot/1.0
相关文章
年销售额为100亿的建材/板材/家居/新批发云平台向广东省发改委存案
总投资额43亿3亿用于云平台根基建树30亿用于一仠家智能家居新批发馆10亿用于上卑劣云提供年度严正名目恳求书 1.名目报告单元根基情景名目报告单元根基信息,搜罗:名目报告单元称谓、建树光阴、注册规范、2025-04-07
SpaceX火箭发射欧几里德太空望远镜,以前所未有的方式绘制“黑暗宇宙”
神秘的地球uux.cn)据美国太空网伊丽莎白·豪厄尔):美国佛罗里达州卡纳维拉尔角——周六(7月1日),SpaceX火箭发射了一架新的太空望远镜进入轨道,其任务是以前所未有的方式绘制“黑暗宇宙”的地图2025-04-07
1月18战19号,《阿盖我:奥秘忠细》卡司战导演到达韩国,开启新片饱吹的,详细内容是常例的尾映礼战公布会。亨利·卡维我进乡顺雅,正在台上掀示各种韩式比心。 那是他自2018年碟中谍6后第两次停止饱吹巡2025-04-07
2022年7月14日,巴克月亮或雷月升起在纽约市曼哈顿下城和世贸中心一号大楼的后面(图片来源:加里·赫肖恩/盖蒂图片)神秘的地球uux.cn)据美国太空网罗伯特·李):七月的满月,也被称为巴克月,今晚2025-04-07
脸上长斑,彷佛是每一个姑娘都无奈躲过的坎。特意对于爱美的姑娘来说,无疑是一件至关痛苦悲痛的蒙受。祛斑的措施有哪些?简略实用的祛斑措施祛斑产物运用好的祛斑品牌产物---俏颜黛俏颜黛植物萃取,质地以及善,2025-04-07
2020好玩的摹拟运营病院的单机游戏保举 体验做大妇的人逝世
摹拟运营病院的单机游戏是很多的玩家很喜好的游戏的范例之一,正在摹拟运营病院的单机游戏中玩家能够体会到分歧的兴趣,上里小编便去先容几款好玩的摹拟运营病院的单机游戏,感兴趣的小水陪一起去看看吧。1.萌趣病2025-04-07
最新评论