twitter现已修复了这个截断漏洞,似乎还有方式绕过,原因应该是内部在做twitter.com向x.com全面过渡,体系复杂出现疏漏导致。
发现原因是像twitter这种信息量很大价值也很大的站点的各种监测下,上周发现在DomainTools.com 的搜索显示,至少有60个域名被注册为以“twitter.com”结尾的域名,这些域名中的大多数都是由私人“防御性”注册的,以防止这些域名被恶意攻击者用于钓鱼类购买。
漏洞具体情况:
以yandextwitter.com为例,当域名发布在用户消息或推文中时,Twitter/X 会将其截断为显示 yandex.com。访问则会正常跳转到yandextwitter.com,导致了这次大规模的钓鱼事件出现。
有些作为示警调侃类利用页面,比如fedetwitter.com,截断显示访问的是fede.com,访问页面会显示如下:
其它发现信息:
其他新注册的域(包括 goodrtwitter.com (goodrx.com)、neobutwitter.com (neobux.com)、roblotwitter.com (roblox.com)、square-enitwitter.com (square-enix.com) 和 yandetwitter.com (yandex.com) 在这些域上留下的信息表明,它们是由 Mastodon 上的一个用户做为防御性保护注册的,该用户信息说他是系统管理员/工程师。不过真实性还没有得到验证。
包括“twitter.com”在内的许多新域名似乎是由f日本的 Twitter/X 用户防御性注册的。域名 netflitwitter.com(netflix.com,对 Twitter/X 用户)现在显示一条消息,称它“是为了防止将其用于恶意目的而获取的”,以及一个 Twitter/X 用户名。
域名 fedetwitter.com 将用户重定向到某日本技术爱好者的博客。用户名为“amplest0e”的用户似乎已经注册了 space-twitter.com,Twitter/X用户会将其视为CEO的“space-x.com”。域“ametwitter.com”已重定向到实际 americanexpress.com。
还有一些最近注册并以“twitter.com”结尾的域名目前无法解析,并且在其注册记录中不包含有用的联系信息。其中包括 firefotwitter[.]com (firefox.com), ngintwitter[.]com (nginx.com) 和 webetwitter[.]com (webex.com)。
