今日运势评分

-7

本月运势

癸未月

震荡偏多

比肩争财，寅冲申

丁不剃头头必生疮
丑不冠带主不还乡

宜

破屋,坏垣,馀事勿取

忌

诸事不宜

月相

渐盈凸

冲顶回落

日冲

Powered by RitMEX

注册/

TRUMP8.54 -1.06%

SUI2.90 0.58%

TON2.76 -0.54%

TRX0.29 0.02%

DOGE0.17 1.27%

XRP2.30 1.05%

SOL152.40 0.44%

BNB661.11 -0.07%

ETH2582.72 1.33%

BTC108939.81 0.51%

ETH Gas1.39 Gwei

贪婪

73

首页 深潮精选 Research 项目发现 7x24h︎快讯 最新活动

「核弹级」漏洞砸中 Twitter，黑客可以控制你的账户？

2023.12.13 - 573 天前

如何防范？刷推遇到超长链接，不要点击！万一不幸中招，立即修改密码即可。

撰文：shingle、Frank，Foresight News

最新消息：Paradigm 研究员 samczsun 再次发推称，Twitter 漏洞已修复，技术摘要为 Twitter 子域中的反射 XSS 和 CORS/CSP 旁路允许以本地验证用户身份对 Twitter API 进行任意请求。

以下为原文：今日上午，加州伯克利分校博士研究生 Chaofan Shou 发推披露，发现 Twitter 存在未修复的漏洞，随后 Paradigm 研究员 samczsun 援引 Chaofan Shou 表示，用户如果点击了黑客准备的链接，黑客就能完全访问你的 Twitter 账户，包括可以发推、转发、点赞、屏蔽等。

截至发文时，Twitter 尚未就此发布官方声明，Foresight News 在此简单分析了下该漏洞的攻击逻辑，以及普通用户的安全须知与防范手段。

漏洞攻击逻辑

本次被爆的推特漏洞属于 xss 攻击，即代码注入攻击——攻击者可以提前构造好带有恶意代码的网站链接，用户点击之后就会在网页上执行恶意代码。

比如给出的例子中，恶意代码被 base64 编码后执行，实际执行的是 alert('XSS PoC here')。

当用户访问这个恶意链接，网页就会执行这段代码，弹窗出该字符串：

用户如何防范？

因为这种构造代码是需要放在网址里的，就会导致恶意链接的长度很长。

因此用户在刷推遇到超长的链接时，不要点击！或者实在想看，可以复制出来，开个浏览器无痕模式查看。

总之，不要在登陆 Twitter 账户的浏览器上点击不明长链接。

如果万一不幸中招，立即修改推特密码即可，这种攻击最有价值的是是盗取你的推特 auth_token，修改密码会导致之前的 auth_token 失效。

欢迎加入深潮TechFlow官方社群

Telegram订阅群：https://t.me/TechFlowDaily
Twitter官方账号：https://x.com/TechFlowPost
Twitter英文账号：https://x.com/BlockFlow_News

原文链接

添加收藏

分享社交媒体

作者

Foresight NewsForesight News

相关文章

2025.07.08 - 5 分钟前

从 mAsset 到 xStocks：美股代币化五年沉浮录

这一次，美股代币化能走得更远吗？

mAsset xStocks

2025.07.08 - 2 小时前

贸易战被特朗普玩成“打地鼠游戏”，这场斗争恐怕没有结局

特朗普给贸易谈判者多三周时间，却威胁加征关税。

贸易战

2025.07.08 - 2 小时前

DeFi 傻瓜化：从「一键交互」到真正冷启动，链该如何破局？

「让所有人都能一键交互」的便利，可能只会变成「一键赔光」的灾难。

DeFi

2025.07.08 - 2 小时前

浪漫的土耳其，枕头下的稳定币

目前看来，土耳其的加密重心仍是对冲法币贬值风险。

土耳其稳定币

2025.07.08 - 2 小时前

链上金融之战：新秩序将由谁来设计？

从摩根大通等传统金融机构到 Circle 等加密原生企业，不同背景的参与者正积极布局链上金融生态。

链上金融

2025.07.08 - 2 小时前

从世界计算机到世界账本，以太坊要做链上央行？

以太坊从「世界计算机」到「世界账本」，究竟经历了怎样的叙事流变？

以太坊

2025.07.08 - 3 小时前

物理绑架：比特币新高后的扳手攻击

随着加密行业快速发展，了解你的客户(KYC) 与反洗钱(AML) 制度在提升金融透明度、防控非法资金流动方面发挥着关键作用。

绑架比特币

2025.07.08 - 3 小时前

2025 H1 加密融资洞察：370亿总融资额显示复苏迹象，顶级VC仍有巨大影响力

2025 年上半年加密货币风险投资激增至 370 亿美元。

加密融资

2025.07.08 - 3 小时前

当前全球市场最棘手的 10 个问题，这是来自瑞银的回答

涵盖了从关税冲击到美元贬值等核心市场担忧。

瑞银

2025.07.08 - 4 小时前

Meme 赌场上市记：当 Pump.fun 的镰刀挥向韭菜的养老金

VC 资本的收割游戏，包装成「社区福利」。

Meme

7x24h 快讯︎更多

07月08日 21:03: BTCS宣布计划筹集1亿美元战略收购以太坊

07月08日 21:00: 币安 Alpha 现已上线 Space Nation (OIK)

07月08日 20:56: Fate War 推出首款 NFT 系列 Fate Genesis 99

07月08日 20:45: Truth Social 加密货币蓝筹 ETF 包含 BTC、ETH、SOL、CRO 和 XRP

07月08日 20:39: 记者实探义乌稳定币使用情况：绝大多数商户对稳定币表示"不懂”

07月08日 20:38: LBank已首发上线GP U本位永续合约

07月08日 20:34: 特朗普旗下Truth Social提交S-1注册声明，申请加密货币蓝筹 ETF

07月08日 20:30: Benchmark给予Semler Scientific“买入”评级，目标价定为 101 美元

深潮精选更多

: 传闻支付大咖 Stripe 将进军 L1，哪些新应用值得期待？
2025.07.08

: 观点：Pump.fun 的 TGE，是对 Bonk 及其生态的利好
2025.07.08

: 实地探访义乌：稳定币跨境支付热度几何？
2025.07.08

: Vitalik：当开源成为主流，我为何抛弃宽松许可拥抱 copyleft？
2025.07.08

: IOSG：消费者应用赛道的洞察与思考
2025.07.08

TechFlow Selected深潮精选

「核弹级」漏洞砸中 Twitter，黑客可以控制你的账户...

如何防范？刷推遇到超长链接，不要点击！万一不幸中招，立即修改密码即可。

2023.12.13

专注Web3行业深度报道，洞察潮水流动的方向

我要投稿

风险提示：本网站所有内容不构成投资建议，且无任何带单、引导交易服务；根据央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》请读者提高风险意识。联系我们 / support@techflowpost.com 琼ICP备2022009338号

FOLLOW US

扫码关注公众号