今日运势评分

-8

本月运势

癸未月

震荡偏多

丁破格,酉金生水
丙不修灶必见灾殃
申不安床鬼祟入房

修造,动土,安机械,祭祀,沐浴,解除,拆卸,治病,作灶,盖屋,起基,开池,扫舍,造畜稠,开生坟,合寿木,安葬,破土,启钻,移柩,入殓,立碑

开市,入宅,出行,安床

月相

既朔

冲顶回落

日冲

Powered by RitMEX

注册/

TRUMP10.21 3.71%

SUI4.19 11.34%

TON3.31 5.61%

TRX0.32 1.05%

DOGE0.24 4.02%

XRP3.17 3.44%

SOL186.02 2.28%

BNB781.55 0.80%

ETH3736.16 2.32%

BTC118069.84 1.41%

ETH Gas0.23 Gwei

贪婪
72
首页 深潮精选 Research 项目发现 7x24h︎快讯 最新活动

「核弹级」漏洞砸中 Twitter,黑客可以控制你的账户?

2023.12.13 - 592 天前
如何防范?刷推遇到超长链接,不要点击!万一不幸中招,立即修改密码即可。

撰文:shingle、Frank,Foresight News

最新消息:Paradigm 研究员 samczsun 再次发推称,Twitter 漏洞已修复,技术摘要为 Twitter 子域中的反射 XSS 和 CORS/CSP 旁路允许以本地验证用户身份对 Twitter API 进行任意请求。

以下为原文:今日上午,加州伯克利分校博士研究生 Chaofan Shou 发推披露,发现 Twitter 存在未修复的漏洞,随后 Paradigm 研究员 samczsun 援引 Chaofan Shou 表示,用户如果点击了黑客准备的链接,黑客就能完全访问你的 Twitter 账户,包括可以发推、转发、点赞、屏蔽等

截至发文时,Twitter 尚未就此发布官方声明,Foresight News 在此简单分析了下该漏洞的攻击逻辑,以及普通用户的安全须知与防范手段。

漏洞攻击逻辑

本次被爆的推特漏洞属于 xss 攻击,即代码注入攻击——攻击者可以提前构造好带有恶意代码的网站链接,用户点击之后就会在网页上执行恶意代码

比如给出的例子中,恶意代码被 base64 编码后执行,实际执行的是 alert('XSS PoC here')。

当用户访问这个恶意链接,网页就会执行这段代码,弹窗出该字符串:

用户如何防范?

因为这种构造代码是需要放在网址里的,就会导致恶意链接的长度很长。

因此用户在刷推遇到超长的链接时,不要点击!或者实在想看,可以复制出来,开个浏览器无痕模式查看

总之,不要在登陆 Twitter 账户的浏览器上点击不明长链接。

如果万一不幸中招,立即修改推特密码即可,这种攻击最有价值的是是盗取你的推特 auth_token,修改密码会导致之前的 auth_token 失效。

欢迎加入深潮TechFlow官方社群

Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News
原文链接 
添加收藏
分享社交媒体
作者Foresight NewsForesight News
相关文章
2025.07.26 - 17 小时前
经济学人:如果稳定币真的有用,它们也将真正具有颠覆性
认为加密货币尚未产生任何值得关注的创新的观点早已成为过去式。
稳定币
2025.07.25 - 昨天
Hotcoin Research | 揭秘山寨季板块轮动规律、当前阶段与趋势预测
加密市场的山寨季,既是平凡投资者实现财富跃迁的舞台,也是贪婪恐惧相互交织的修罗场。
2025.07.25 - 昨天
连线杂志:特朗普时代,加密企业的「银行破冰」时刻
多年来,加密企业在美国一直被银行体系拒之门外。而特朗普政府上台后,一众金融科技公司却向加密企业抛出了橄榄枝。
特朗普 银行
2025.07.25 - 昨天
加密货币大爆炸将彻底改变金融
认为加密货币尚未产生任何值得关注的创新的观点早已成为过去式。
加密货币 金融
2025.07.25 - 前天
以太坊点燃行情,Solana 接棒狂飙:山寨季来了?
多个链上数据与资金流向信号显示,一轮由山寨币主导的行情,可能已经悄然启动。
以太坊 Solana 山寨季
2025.07.25 - 前天
ETH vs SOL:2025 加密战争,万亿资本押注新旧秩序
一个沉淀为制度资产,一个爆发为消费主链。
ETH SOL
2025.07.25 - 前天
加密早报:LetsBONK 承诺回购头部代币,OSL 集团拟配股筹资约 23.55 亿港元
Tron Inc.宣布将于7月24日敲响纳斯达克开市钟。
Letsbonk.fun OSL
2025.07.24 - 前天
费用开关,ENA 币价起飞的牛市「猛药」
基于 Ethena 当前的收益水平,持币者可获得非常具有竞争力的收益率。
Ethena
2025.07.24 - 前天
加密牛市静悄悄
留给散户的机会不多了。
原创 牛市 散户
2025.07.24 - 3 天前
Bonk 巧施夺权,Pump 何以护位?
Bonk抢占 Launchpad 市场,收入领先引爆代币增长良性循环。
Bonk.fun Pump.fun Meme
7x24h 快讯︎更多
07月27日 00:19
TRUMP 持仓 TOP2 地址今日再次增持 30.7 万枚代币
07月27日 00:11
Pudgy Penguins 安全负责人发文:并未收购 OpenSea
07月26日 19:53
Bitget 已上线 U 本位 MDT 永续合约,杠杆区间1-20倍
07月26日 19:32
Tyler Winklevoss 指控摩根大通因公开批评而阻止 Gemini 合作
07月26日 18:27
Ethena 项目方关联地址于 2 小时前再次向 CEX 转入 ENA
07月26日 17:21
Berachain 借贷协议 Dolomite 代币月涨 230%,将深度整合 USD1 稳定币
07月26日 15:06
上市公司Bitcoin Treasury Capital增持10枚BTC,总持仓量约达166枚
07月26日 15:04
Bitget 链上交易(Onchain)上线 STOOS、XTTA、DSTOCK 等代币
深潮精选更多
ETH vs SOL:2025 加密战争,万亿资本押注新旧秩序

2025.07.25

一场让 Pump.Fun 彻底破发的直播

2025.07.25

加密早报:LetsBONK 承诺回购头部代币,OSL 集团拟配股筹资约 23.55 亿港元

2025.07.25

加密牛市静悄悄

2025.07.24

进化心理学如何解释反对贸易?

2025.07.24

专注Web3行业深度报道,洞察潮水流动的方向
我要投稿寻求报道
风险提示:本网站所有内容不构成投资建议,且无任何带单、引导交易服务;根据央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》请读者提高风险意识。联系我们 / support@techflowpost.com 琼ICP备2022009338号

FOLLOW US

DeFlow

扫码关注公众号

电报群
商务合作
RSS-精选