|
在 X/Twitter 上,安全如果網(wǎng)站已經(jīng)按照開發(fā)者規(guī)范要求在網(wǎng)頁源代碼里添加了標(biāo)頭等數(shù)據(jù),系統(tǒng)則這個網(wǎng)站的似乎哈爾濱外圍(外圍預(yù)約)外圍價格(電話微信199-7144-9724)鴛鴦浴水中簫、制服誘惑絲襪任何地址發(fā)布到 X 上時,都會額外顯示網(wǎng)站域名以及圖片等數(shù)據(jù)。存漏 要實現(xiàn)此功能 X 的冒充爬蟲需要在用戶發(fā)布內(nèi)容時第一時間對目標(biāo)鏈接進(jìn)行抓取,如果抓取無法那就可以顯示完整信息,任意并且后續(xù)變更后已經(jīng)被抓取的知名數(shù)據(jù)也不會變更。 于是網(wǎng)站網(wǎng)這就產(chǎn)生了一個安全問題:有詐騙者在 X 上冒充知名新聞網(wǎng)站福布斯發(fā)布加密貨幣相關(guān)的內(nèi)容,吸引幣圈用戶加入他們的發(fā)帖哈爾濱外圍(外圍預(yù)約)外圍價格(電話微信199-7144-9724)鴛鴦浴水中簫、制服誘惑絲襪社群,然后操作一些垃圾幣來收割。藍(lán)點
從下圖中我們可以看到這種惡意利用的安全流程: 詐騙者在服務(wù)器上進(jìn)行了 HTTP 302 臨時重定向,當(dāng)檢測到不同的系統(tǒng) UserAgent 時,可以返回不同的似乎臨時重定向地址。 其中第一個測試截圖是存漏不使用任何瀏覽器 UA 的情況下,模擬 X 爬蟲系統(tǒng)進(jìn)行抓取 (實際上 X 有爬蟲,冒充叫做 TwitterBot,但沒有其他 UA 信息,見結(jié)尾附注 1),此時詐騙網(wǎng)站沒有檢測到有效的瀏覽器 UA,于是返回了福布斯網(wǎng)站的一個鏈接。 于是 X 會在推文發(fā)布后將其標(biāo)注為來自福布斯網(wǎng)站。
第二個測試截圖在附帶瀏覽器 UA 的情況下,可以看到這個詐騙網(wǎng)站返回了他們的目標(biāo)地址,那就是那個社群。 而用戶正常點擊鏈接那肯定是附帶瀏覽器 UA 信息的,所以實際上點擊都是返回社群地址,第一種情況僅僅只是用來迷惑 X 的爬蟲。 值得注意的是,這種情況并不是現(xiàn)在才發(fā)生的,至少從去年 8 月開始已經(jīng)有詐騙者使用這種方法進(jìn)行釣魚,不過至今 X 也沒有解決這類問題。 附注 1: X/Twitter 爬蟲的完整信息:TwitterBot/1.0 |
