黑客挖掘漏洞让Twitter粉丝无法刷新朋友圈

黑客挖掘漏洞让Twitter粉丝无法刷新朋友圈

先生们女士们,今天共亨的这篇是Twitter上的一个Dos系统漏洞。使用此系统漏洞,只需发送到一个Twitter朋友圈,即可促发Twitter后端开发网络服务器解析错误,造成您和您的粉丝账号没法刷出。特别社交圈的朋友。 从XSS打开创口 DoS进攻一般是对特殊类型资源(比如网站,手机应用程序或网络服务器)的特殊恳求进攻。进攻可能造成资源服务没用甚至功能。

最初,我准备试着在Twitter手机网站(mobile.twitter.Com)上找寻XSS系统漏洞,但我徒劳无功。但之后,我登陆了Twitter移动官方网站,打开了一个提示框进行检测,并重复发送到各种Payloads,并希望得到一些有效的XSS分析没有响应。以下就是我的工作流程的一般定义: 我注意到当用户向Twitter发送到网页地址连接时,Twitter将使用自己的短网页地址服务将用户的网页地址链接转换为“t.co”前缀域款式。这个是正常的。

Twitter加入了短网页地址服务,以保护用户免遭故意连接的进攻,有点儿类似Facebook的重定向自动跳转保护服务Linkshim。但是,当您使用“twitter.Com”子域或“mobile.twitter.Com”网站发送到网页地址连接时,它不会添加“t.co”前缀备案域名款式,哦,这. 这有点儿趣味,因为大部分当代互联网技术网站都对于用户的持续操作恳求。为了提升用户体验设计和没有响应速率,他们不会通过网络服务器再次载入整个网页页面,而是通过AJAX或XMLHttpRequests在网站后台实行它们。恳求保持重量级恳求信息交互。比如,当您试着从Twitter网站系统外界网络访问htpp://mobile.twitter.Com/notifications连接时,Twitter后端开发网络服务器的确需要完全载入此网页页面;但如果您来源于Twitter内部结构信息系统来网络访问此连接,则Twitter后端开发网络服务器只能通过一些javascript脚本保持3D渲染载入,而无须实行整个网页页面的载入。 因而,从这个多角度看来,我以前的XSS系统漏洞发现的看法是,我要发送到一条属于Twitter自己的网站网页地址的新消息,并在Twitter网站系统中含有XSS Payload自变量。