「核弹级」漏洞砸中 Twitter，黑客可以控制你的账户？

如何防范？刷推遇到超长链接，不要点击！万一不幸中招，立即修改密码即可。

撰文：shingle、Frank，Foresight News

最新消息：Paradigm 研究员 samczsun 再次发推称，Twitter 漏洞已修复，技术摘要为 Twitter 子域中的反射 XSS 和 CORS/CSP 旁路允许以本地验证用户身份对 Twitter API 进行任意请求。

以下为原文：今日上午，加州伯克利分校博士研究生 Chaofan Shou 发推披露，发现 Twitter 存在未修复的漏洞，随后 Paradigm 研究员 samczsun 援引 Chaofan Shou 表示，用户如果点击了黑客准备的链接，黑客就能完全访问你的 Twitter 账户，包括可以发推、转发、点赞、屏蔽等。

截至发文时，Twitter 尚未就此发布官方声明，Foresight News 在此简单分析了下该漏洞的攻击逻辑，以及普通用户的安全须知与防范手段。

漏洞攻击逻辑

本次被爆的推特漏洞属于 xss 攻击，即代码注入攻击——攻击者可以提前构造好带有恶意代码的网站链接，用户点击之后就会在网页上执行恶意代码。

比如给出的例子中，恶意代码被 base64 编码后执行，实际执行的是 。

当用户访问这个恶意链接，网页就会执行这段代码，弹窗出该字符串：

用户如何防范？

因为这种构造代码是需要放在网址里的，就会导致恶意链接的长度很长。

因此用户在刷推遇到超长的链接时，不要点击！或者实在想看，可以复制出来，开个浏览器无痕模式查看。

总之，不要在登陆 Twitter 账户的浏览器上点击不明长链接。

如果万一不幸中招，立即修改推特密码即可，这种攻击最有价值的是是盗取你的推特 auth_token，修改密码会导致之前的 auth_token 失效。