
'TNT급' 취약점이 트위터를 강타했다, 해커가 당신의 계정을 장악할 수 있을까?
글: shingle, Frank, Foresight News
최신 소식: Paradigm 연구원 samczsun이 다시 트위터를 통해, 트위터의 취약점이 수정되었다고 밝혔으며, 기술 요약에 따르면 트위터 하위 도메인에서 발생한 반사형 XSS와 CORS/CSP 우회로 인해 인증된 사용자 로컬 환경에서 트위터 API에 임의 요청을 할 수 있었다고 전했다.
다음은 원문이다. 오늘 오전, UC 버클리 대학원생 Chaofan Shou가 트위터를 통해 트위터에 아직 수정되지 않은 보안 결함을 발견했다고 알렸으며, 이후 Paradigm 연구원 samczsun이 Chaofan Shou의 주장을 인용해 사용자가 해커가 준비한 링크를 클릭하면, 해커는 사용자의 트위터 계정에 완전히 접근할 수 있어 트윗 작성, 리트윗, 좋아요, 차단 등의 모든 작업을 수행할 수 있다고 설명했다.

기사 작성 시점 기준으로 트위터 측은 이에 대해 공식 성명을 발표하지 않았으며, Foresight News는 이번 취약점의 공격 원리와 일반 사용자를 위한 보안 수칙 및 예방 방법을 간략히 분석한다.
취약점 공격 원리
이번에 발견된 트위터의 취약점은 XSS 공격, 즉 코드 인젝션 공격에 해당한다. 공격자는 악성 코드가 포함된 웹사이트 링크를 미리 만들어두고, 사용자가 해당 링크를 클릭하면 웹페이지에서 악성 코드가 실행된다.
예시에서 제시된 것처럼, 악성 코드는 base64 인코딩되어 실행되며, 실제로는 alert('XSS PoC here')가 실행된다.
사용자가 이 악성 링크에 접속하면 해당 코드가 실행되어 문자열을 담은 팝업 창이 나타난다.

사용자는 어떻게 방어할 수 있나?
이러한 악성 코드는 URL 내에 삽입되어야 하므로, 악성 링크의 길이가 매우 길어진다.
따라서 트위터를 이용 중에 지나치게 긴 링크를 발견하면 절대 클릭하지 말아야 한다. 만약 내용이 궁금하다면, 링크를 복사하여 브라우저의 시크릿 모드(익명 탐색)에서 열어보는 것이 안전하다.
결론적으로, 트위터 계정에 로그인된 상태의 브라우저에서는 출처가 불분명한 긴 링크를 절대 클릭해서는 안 된다.

萬일 실수로 피해를 입었더라도, 즉시 트위터 비밀번호를 변경하면 된다. 이러한 공격에서 가장 중요한 것은 트위터 auth_token을 훔쳐가는 것이지만, 비밀번호를 변경하면 기존의 auth_token은 무효화된다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










