今日运势评分

-8

本月运势

戊子月

震荡偏多

比肩争财,子午冲
戊不受田田主不祥
午不苫盖屋主更张

破屋,坏垣,祭祀,沐浴,馀事勿取

诸事不宜

月相

蛾眉残

底部反弹

日冲

Powered by RitMEX

注册/

ONDO0.41 -9.70%

TRUMP5.27 -3.90%

SUI1.46 -6.84%

TON1.49 -4.32%

TRX0.28 -1.46%

DOGE0.13 -5.37%

XRP1.87 -6.29%

SOL126.13 -3.89%

BNB854.04 -3.96%

ETH2937.63 -5.61%

BTC85845.62 -3.86%

ETH Gas0.36 Gwei

极恐
16
首页 深潮精选 Research 项目发现 7x24h︎快讯 最新活动

「核弹级」漏洞砸中 Twitter,黑客可以控制你的账户?

2023.12.13 - 734 天前
如何防范?刷推遇到超长链接,不要点击!万一不幸中招,立即修改密码即可。

撰文:shingle、Frank,Foresight News

最新消息:Paradigm 研究员 samczsun 再次发推称,Twitter 漏洞已修复,技术摘要为 Twitter 子域中的反射 XSS 和 CORS/CSP 旁路允许以本地验证用户身份对 Twitter API 进行任意请求。

以下为原文:今日上午,加州伯克利分校博士研究生 Chaofan Shou 发推披露,发现 Twitter 存在未修复的漏洞,随后 Paradigm 研究员 samczsun 援引 Chaofan Shou 表示,用户如果点击了黑客准备的链接,黑客就能完全访问你的 Twitter 账户,包括可以发推、转发、点赞、屏蔽等

截至发文时,Twitter 尚未就此发布官方声明,Foresight News 在此简单分析了下该漏洞的攻击逻辑,以及普通用户的安全须知与防范手段。

漏洞攻击逻辑

本次被爆的推特漏洞属于 xss 攻击,即代码注入攻击——攻击者可以提前构造好带有恶意代码的网站链接,用户点击之后就会在网页上执行恶意代码

比如给出的例子中,恶意代码被 base64 编码后执行,实际执行的是 alert('XSS PoC here')。

当用户访问这个恶意链接,网页就会执行这段代码,弹窗出该字符串:

用户如何防范?

因为这种构造代码是需要放在网址里的,就会导致恶意链接的长度很长。

因此用户在刷推遇到超长的链接时,不要点击!或者实在想看,可以复制出来,开个浏览器无痕模式查看

总之,不要在登陆 Twitter 账户的浏览器上点击不明长链接。

如果万一不幸中招,立即修改推特密码即可,这种攻击最有价值的是是盗取你的推特 auth_token,修改密码会导致之前的 auth_token 失效。

欢迎加入深潮TechFlow官方社群

Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News
原文链接 
添加收藏
分享社交媒体
作者Foresight NewsForesight News
相关文章
2025.12.16 - 27 分钟前
Bitget 每日早报:芝商所推出以现货报价的 XRP 和 SOL 期货合约
美联储主席人选博弈加剧,哈塞特面临特朗普身边高层反对。
Bitget
2025.12.16 - 2 小时前
2025 年,加密市场那些无法回头的改变
2025年是加密领域的一个拐点:它从投机性周期过渡到基础性、机构级规模的结构。
2025.12.16 - 3 小时前
加密早报:何一否认币安 Alpha 关闭传闻,Bittensor 完成首次减半
Grayscale发布2026年数字资产展望,预测比特币将创新高。
原创 Bittensor
2025.12.15 - 14 小时前
韩国加密场研究报告,市场重启与下一轮增长周期
从崩塌到跃迁,韩国加密市场的重启与下一轮增长周期
韩国
2025.12.15 - 18 小时前
数字银行早已不做银行生意,真正的金矿在稳定币与身份认证
市场正逐步摒弃各平台分散的 KYC 流程,转向可跨服务、跨国家、跨平台使用的可移植性认证身份体系。
稳定币 银行
2025.12.15 - 18 小时前
币圈印钞机欲收购尤文图斯:欧洲新老钱的攻防战
当 Paolo 满怀热忱地敲响尤文图斯的大门时,迎接他的没有鲜花,没有掌声。
Tether 尤文图斯
2025.12.15 - 19 小时前
「合法」的收割?特朗普夫妇 Meme 币狂欢背后的利益链与丑闻
没人愿意因为帮助第一对夫妇推出从峰值暴跌 90% 以上的加密货币而获得功劳。
Meme
2025.12.15 - 20 小时前
币圈大佬齐聚阿布扎比,称阿联酋是「币圈的新华尔街」
熊市抱团拥抱金主!
阿布扎比
2025.12.15 - 20 小时前
巴基斯坦,从「巴铁兄」到「链上铁」?
巴基斯坦拥有超过 2.4 亿人口,数字支付接受度不断提高,加密货币的渗透率还有很大的上升空间。
巴基斯坦
2025.12.15 - 21 小时前
小盘代币跌至四年低点,「山寨牛」 彻底没希望了?
尽管与加密大盘代币的相关性高达 0.9,却未能提供任何多元化价值。
山寨
7x24h 快讯︎更多
12月16日 11:33
美国前25大银行积极布局比特币业务
12月16日 11:29
Hotcoin 将于 12 月 16 日上线 MAGMA
12月16日 11:22
Honeypot Finance 永续合约 DEX 交易量突破 2000 万美元
12月16日 11:20
ETH巨鲸十天内提取2.1万枚ETH,采用循环做多策略浮亏624万美元
12月16日 11:18
香港证监会将“香港稳定币交易所”列入可疑虚拟资产交易平台警示名单
12月16日 11:08
现货黄金短线跳水13美元,跌破4290美元/盎司
12月16日 11:06
美国 XRP 现货 ETF 单日总净流入 1089 万美元
12月16日 10:48
某ETH巨鲸连续两次做多ETH,总亏损486万美元
深潮精选更多
对话币安 CEO 何一:关于 CZ、币安崛起,以及那些只有赢家才懂的“认知差”

2025.12.16

2025 年,加密市场那些无法回头的改变

2025.12.16

加密早报:何一否认币安 Alpha 关闭传闻,Bittensor 完成首次减半

2025.12.16

数字银行早已不做银行生意,真正的金矿在稳定币与身份认证

2025.12.15

「合法」的收割?特朗普夫妇 Meme 币狂欢背后的利益链与丑闻

2025.12.15

专注Web3行业深度报道,洞察潮水流动的方向
我要投稿寻求报道
风险提示:本网站所有内容不构成投资建议,且无任何带单、引导交易服务;根据央行等十部委发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》请读者提高风险意识。联系我们 / support@techflowpost.com 琼ICP备2022009338号

FOLLOW US

BlockFlow

扫码关注公众号

电报群
商务合作
RSS-精选