最新消息:Paradigm 研究员 samczsun 再次发推称,Twitter 漏洞已修复,技术摘要为 Twitter 子域中的反射 XSS 和 CORS/CSP 旁路允许以本地验证用户身份对 Twitter API 进行任意请求。
以下为原文:今日上午,加州伯克利分校博士研究生 Chaofan Shou 发推披露,发现 Twitter 存在未修复的漏洞,随后 Paradigm 研究员 samczsun 援引 Chaofan Shou 表示,用户如果点击了黑客准备的链接,黑客就能完全访问你的 Twitter 账户,包括可以发推、转发、点赞、屏蔽等。
截至发文时,Twitter 尚未就此发布官方声明,Foresight News 在此简单分析了下该漏洞的攻击逻辑,以及普通用户的安全须知与防范手段。
漏洞攻击逻辑
本次被爆的推特漏洞属于 xss 攻击,即代码注入攻击——攻击者可以提前构造好带有恶意代码的网站链接,用户点击之后就会在网页上执行恶意代码。
比如给出的例子中,恶意代码被 base64 编码后执行,实际执行的是 alert(‘XSS PoC here’😉。
当用户访问这个恶意链接,网页就会执行这段代码,弹窗出该字符串:
用户如何防范?
因为这种构造代码是需要放在网址里的,就会导致恶意链接的长度很长。
因此用户在刷推遇到超长的链接时,不要点击!或者实在想看,可以复制出来,开个浏览器无痕模式查看。
总之,不要在登陆 Twitter 账户的浏览器上点击不明长链接。
如果万一不幸中招,立即修改推特密码即可,这种攻击最有价值的是是盗取你的推特 auth_token,修改密码会导致之前的 auth_token 失效。
(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)
