X/Twitter安全系統(tǒng)似乎存在漏洞 可以冒充任意知名網(wǎng)站發(fā)帖 – 藍(lán)點(diǎn)網(wǎng)

2025-12-10 20:27:20 分類(lèi)：綜合 閱讀(81435)

在 X/Twitter 上，安全如果網(wǎng)站已經(jīng)按照開(kāi)發(fā)者規(guī)范要求在網(wǎng)頁(yè)源代碼里添加了標(biāo)頭等數(shù)據(jù)，系統(tǒng)則這個(gè)網(wǎng)站的似乎臺(tái)州外圍（網(wǎng)上外圍）【電話(huà)微信1662+044-1662】提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)任何地址發(fā)布到 X 上時(shí)，都會(huì)額外顯示網(wǎng)站域名以及圖片等數(shù)據(jù)。存漏

要實(shí)現(xiàn)此功能 X 的冒充爬蟲(chóng)需要在用戶(hù)發(fā)布內(nèi)容時(shí)第一時(shí)間對(duì)目標(biāo)鏈接進(jìn)行抓取，如果抓取無(wú)法那就可以顯示完整信息，任意并且后續(xù)變更后已經(jīng)被抓取的知名數(shù)據(jù)也不會(huì)變更。

于是網(wǎng)站網(wǎng)這就產(chǎn)生了一個(gè)安全問(wèn)題：有詐騙者在 X 上冒充知名新聞網(wǎng)站福布斯發(fā)布加密貨幣相關(guān)的內(nèi)容，吸引幣圈用戶(hù)加入他們的發(fā)帖臺(tái)州外圍（網(wǎng)上外圍）【電話(huà)微信1662+044-1662】提供外圍女上門(mén)服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)社群，然后操作一些垃圾幣來(lái)收割。藍(lán)點(diǎn)

從下圖中我們可以看到這種惡意利用的安全流程：

詐騙者在服務(wù)器上進(jìn)行了 HTTP 302 臨時(shí)重定向，當(dāng)檢測(cè)到不同的系統(tǒng) UserAgent 時(shí)，可以返回不同的似乎臨時(shí)重定向地址。

其中第一個(gè)測(cè)試截圖是存漏不使用任何瀏覽器 UA 的情況下，模擬 X 爬蟲(chóng)系統(tǒng)進(jìn)行抓取 (實(shí)際上 X 有爬蟲(chóng)，冒充叫做 TwitterBot，但沒(méi)有其他 UA 信息，見(jiàn)結(jié)尾附注 1)，此時(shí)詐騙網(wǎng)站沒(méi)有檢測(cè)到有效的瀏覽器 UA，于是返回了福布斯網(wǎng)站的一個(gè)鏈接。

于是 X 會(huì)在推文發(fā)布后將其標(biāo)注為來(lái)自福布斯網(wǎng)站。

第二個(gè)測(cè)試截圖在附帶瀏覽器 UA 的情況下，可以看到這個(gè)詐騙網(wǎng)站返回了他們的目標(biāo)地址，那就是那個(gè)社群。

而用戶(hù)正常點(diǎn)擊鏈接那肯定是附帶瀏覽器 UA 信息的，所以實(shí)際上點(diǎn)擊都是返回社群地址，第一種情況僅僅只是用來(lái)迷惑 X 的爬蟲(chóng)。

值得注意的是，這種情況并不是現(xiàn)在才發(fā)生的，至少?gòu)娜ツ?8 月開(kāi)始已經(jīng)有詐騙者使用這種方法進(jìn)行釣魚(yú)，不過(guò)至今 X 也沒(méi)有解決這類(lèi)問(wèn)題。

附注 1：

X/Twitter 爬蟲(chóng)的完整信息：TwitterBot/1.0