一年多来,只要在 Twitter 上点击一个恶意制作的链接,你的账户就可能被接管,并被用来发布推文、转发推文、点赞或屏蔽其他用户。本周三,该漏洞被公开披露,从而得到了快速修复,而披露漏洞的用户也受到了责骂。
该公司没有从 Twitter 的漏洞赏金计划中获得金钱奖励,而是禁止该用户参与。
我提交了这个漏洞报告,但没有收到赏金。你们告诉我这个错误已经存在一年了。看到你们这么长时间都没有修复,似乎这个错误并不重要,所以我把它公开了。pic.twitter.com/R9X4k8KqMZ
– rabbit (@rabbit_2333) December 12, 2023
Twitter化名用户@rabbit_2333披露了这一消息,他分享了如何利用Twitter分析子域上的XSS漏洞,让攻击者访问第三方的个人资料,并能做除了修改账户密码之外的几乎所有事情。
黑客利用了跨站脚本 (XSS) 和跨站请求伪造 (CSRF)。XSS 攻击允许恶意行为者向网页中注入有害脚本,而 CSRF 则诱使用户在已通过身份验证的网络应用程序上执行操作。
Twitter 漏洞同时利用了这两种方法,因此特别危险。通过利用 XSS,攻击者可以绕过网络安全措施,在未经授权的情况下访问用户账户。
随着该漏洞消息的传播,智能合约分析平台 Fuzz.Land 的联合创始人寿超凡介入并提供了更多细节。他揭示了基于这个未解决的漏洞构建一个强大的利用工具是多么容易,并详细解释了该漏洞的工作原理及其可能造成的破坏。
以下是 Twitter XSS + CSRF 漏洞的完整披露。
点击精心制作的链接或进入一些精心制作的网页,攻击者就可以接管您的账户(发布、点赞、更新个人资料、删除账户等)pic.twitter.com/MVJ1MvHt6H
– Chaofan Shou (@shoucccc) 2023年12月13日
。
Shou 的文章之后是网络安全研究员 Sam Sun 的评论,他就如何避免该漏洞提供了实用建议,并强调即使是那些通过浏览器在手机上使用 Twitter 的人也缺乏安全性。
孙指出,以隐私为中心的网络浏览器 Brave 可以阻止该漏洞的使用。
公开披露后,X 团队迅速做出反应。经 Sun 确认,他们在数小时内就修补了漏洞。尽管该漏洞具有潜在的严重性,但 @rabbit_2333 并没有因为发现漏洞而获得奖励。相反,他们收到了被驱逐出漏洞悬赏计划的通知。
“谢谢 Twitter,”该用户写道,并附上了 Twitter 封禁通知的截图。
当 @rabbit_2333 是否应该发布该漏洞的评论蜂拥而至时,该用户声称他们一开始确实遵循了正确的协议。该用户说,直到 X 驳回了该漏洞的严重性和悬赏资格,他们才将其公布于众。
我提交了这个漏洞报告,但没有收到赏金。你们告诉我这个漏洞已经存在一年了。看到你们这么长时间都没有修复,似乎这个错误并不重要,所以我把它公开了。pic.twitter.com/R9X4k8KqMZ
– rabbit (@rabbit_2333) December 12, 2023
漏洞悬赏计划的目的是防止类似事件的发生,通过奖励激励开发人员发现安全漏洞,并约定在公司修复漏洞时不披露漏洞。
漏洞赏金计划在软件开发和加密货币领域都很常见,尤其是在处理智能合约时。虽然运行此类计划可能具有挑战性,但防止安全漏洞的发生通常被认为是值得付出努力的。
白帽子和漏洞赏金奖励计划通常要求对漏洞保密。但它们通常也有有效期,以确保软件开发者及时采取行动。