也是草台班子?X/Twitter批量修改X.com链接差点引起大范围钓鱼攻击
2024-4-11 13:1:32 Author: www.landiannews.com(查看原文) 阅读量:17 收藏

昨天埃隆马斯克的 X/Twitter 平台开始自动将所有提到推文中包含 Twitter.com 的链接自动替换显示为 X.com,考虑到 Twitter 虽然已经更名为 X 但主域名至今没有换成 X.com,所以 X 团队想要替换也倒是可以理解。

问题在于 X 团队看起来也是草台班子,因为他们在进行域名匹配时,竟然简单粗暴的替换显示,不会对内容进行任何校验。

但问题在于只是前台显示出现变化原链接并没有发生变化,于是在过去 48 小时内出现大量以 Twitter.com 结尾的新域名,这些域名可能会被用来钓鱼,但多数都是基于保护性注册的,目前尚未造成严重危害。

也是草台班子?X/Twitter批量修改X.com链接差点引起大范围钓鱼攻击

下面是利用方式的举例:

比如美国知名快递公司 FedEx 的官方网站是 FedEx.com,然后基于上述问题注册了新域名 fedetwitter.com,由于 X 的规则匹配,这个新域名在推文中发布后,会被显示为 fedex.com,但实际域名仍然是 fedetwitter.com,因此可以被用于钓鱼。

所幸 X 安全团队收到不少安全人士的反馈,这个漏洞目前已经被修复,不会再将任何以 Twitter.com 结尾的域名自动截断为 x.com 结尾。

这次安全问题差点引起大范围的钓鱼事件,也可以看到 X 团队现在这些操作多么让人震惊,不过这类安全问题估计以后发生的次数还会更多。

版权声明:感谢您的阅读,除非文中已注明来源网站名称或链接,否则均为蓝点网原创内容。转载时请务必注明:来源于蓝点网、标注作者及本文完整链接,谢谢理解。


文章来源: https://www.landiannews.com/archives/103317.html
如有侵权请联系:admin#unsafe.sh