X/Twitter安全系统似乎存在漏洞 可以冒充任意知名网站发帖 – 蓝点网
发布时间:2026-03-24 10:26:18 作者:玩站小弟 
我要评论
我要评论在 X/Twitter 上,如果网站已经按照开发者规范要求在网页源代码里添加了标头等数据,则这个网站的任何地址发布到 X 上时,都会额外显示网站域名以及图片等数据。要实现此功能 X 的爬虫需要在用户发
。
在 X/Twitter 上,安全如果网站已经按照开发者规范要求在网页源代码里添加了标头等数据,系统则这个网站的似乎任何地址发布到 X 上时,都会额外显示网站域名以及图片等数据。存漏
要实现此功能 X 的冒充爬虫需要在用户发布内容时第一时间对目标链接进行抓取,如果抓取无法那就可以显示完整信息,任意并且后续变更后已经被抓取的知名数据也不会变更。
于是网站网这就产生了一个安全问题:有诈骗者在 X 上冒充知名新闻网站福布斯发布加密货币相关的内容,吸引币圈用户加入他们的发帖社群,然后操作一些垃圾币来收割。蓝点
从下图中我们可以看到这种恶意利用的安全流程:
诈骗者在服务器上进行了 HTTP 302 临时重定向,当检测到不同的系统 UserAgent 时,可以返回不同的似乎临时重定向地址。
其中第一个测试截图是存漏不使用任何浏览器 UA 的情况下,模拟 X 爬虫系统进行抓取 (实际上 X 有爬虫,冒充叫做 TwitterBot,但没有其他 UA 信息,见结尾附注 1),此时诈骗网站没有检测到有效的浏览器 UA,于是返回了福布斯网站的一个链接。
于是 X 会在推文发布后将其标注为来自福布斯网站。
第二个测试截图在附带浏览器 UA 的情况下,可以看到这个诈骗网站返回了他们的目标地址,那就是那个社群。
而用户正常点击链接那肯定是附带浏览器 UA 信息的,所以实际上点击都是返回社群地址,第一种情况仅仅只是用来迷惑 X 的爬虫。
值得注意的是,这种情况并不是现在才发生的,至少从去年 8 月开始已经有诈骗者使用这种方法进行钓鱼,不过至今 X 也没有解决这类问题。
附注 1:
X/Twitter 爬虫的完整信息:TwitterBot/1.0
相关文章
《现代大战略2018》是系列最新游戏作品,这款游戏中玩家可以体验到最新的策略战争体验,游戏在原作的基础上也做了比较大的改动,到底实际体验如何呢,大家不妨看看下面详细介绍。SystemSoft·Alhp2026-03-24
霓虹深渊无限纱夜纪念品新手搭配解析发布时间:2022-12-09 16:56:30来源:逗游作者:逗游网霓虹深渊无限动作格斗赛博朋克游戏类别:动作格斗游戏大小:514.32M 游戏语言:简体中文游戏版2026-03-24- 霓虹深渊无限愤怒精灵道具一览发布时间:2022-12-09 09:34:11来源:逗游作者:逗游网霓虹深渊无限动作格斗赛博朋克游戏类别:动作格斗游戏大小:514.32M 游戏语言:简体中文游戏版本:v2026-03-24
威威龙做了一只大大的风筝在给风筝涂颜色的时候,他发现颜料不够了就用了一点白色的草莓酱来代替草莓酱的味道引来了一只小蚂蚁(ant)他爬到了风筝的尾巴上,大口大口的吃起来唔,风筝尾巴的味道可真不错!威威龙2026-03-24
孤岛惊魂5还有两周就要发售了,想必很多小伙伴已经期待已久,最近官方带来了游戏新的宣传片,想玩家讲述了关于游戏里面的一些故事,有兴趣的小伙伴快来了解一下吧。育碧中国官方微博日前为我们分享了《孤岛惊魂5》2026-03-24
明日方舟焰影苇草值得练吗发布时间:2022-12-09 15:00:45来源:逗游作者:逗游网明日方舟美少女游戏硬核游戏明日方舟游戏类别:战争策略游戏大小:1.48G 游戏语言:简体中文游戏版本:v12026-03-24
最新评论