在 X/Twitter 上,安全如果網(wǎng)站已經(jīng)按照開發(fā)者規(guī)范要求在網(wǎng)頁源代碼里添加了標(biāo)頭等數(shù)據(jù),系統(tǒng)則這個網(wǎng)站的似乎福州美女同城上門外圍上門外圍女(微信189-4469-7302)提供頂級外圍女上門,可滿足你的一切要求任何地址發(fā)布到 X 上時(shí),都會額外顯示網(wǎng)站域名以及圖片等數(shù)據(jù)。存漏
要實(shí)現(xiàn)此功能 X 的冒充爬蟲需要在用戶發(fā)布內(nèi)容時(shí)第一時(shí)間對目標(biāo)鏈接進(jìn)行抓取,如果抓取無法那就可以顯示完整信息,任意并且后續(xù)變更后已經(jīng)被抓取的知名數(shù)據(jù)也不會變更。
于是網(wǎng)站網(wǎng)這就產(chǎn)生了一個安全問題:有詐騙者在 X 上冒充知名新聞網(wǎng)站福布斯發(fā)布加密貨幣相關(guān)的內(nèi)容,吸引幣圈用戶加入他們的發(fā)帖福州美女同城上門外圍上門外圍女(微信189-4469-7302)提供頂級外圍女上門,可滿足你的一切要求社群,然后操作一些垃圾幣來收割。藍(lán)點(diǎn)
從下圖中我們可以看到這種惡意利用的安全流程:
詐騙者在服務(wù)器上進(jìn)行了 HTTP 302 臨時(shí)重定向,當(dāng)檢測到不同的系統(tǒng) UserAgent 時(shí),可以返回不同的似乎臨時(shí)重定向地址。
其中第一個測試截圖是存漏不使用任何瀏覽器 UA 的情況下,模擬 X 爬蟲系統(tǒng)進(jìn)行抓取 (實(shí)際上 X 有爬蟲,冒充叫做 TwitterBot,但沒有其他 UA 信息,見結(jié)尾附注 1),此時(shí)詐騙網(wǎng)站沒有檢測到有效的瀏覽器 UA,于是返回了福布斯網(wǎng)站的一個鏈接。
于是 X 會在推文發(fā)布后將其標(biāo)注為來自福布斯網(wǎng)站。
第二個測試截圖在附帶瀏覽器 UA 的情況下,可以看到這個詐騙網(wǎng)站返回了他們的目標(biāo)地址,那就是那個社群。
而用戶正常點(diǎn)擊鏈接那肯定是附帶瀏覽器 UA 信息的,所以實(shí)際上點(diǎn)擊都是返回社群地址,第一種情況僅僅只是用來迷惑 X 的爬蟲。
值得注意的是,這種情況并不是現(xiàn)在才發(fā)生的,至少從去年 8 月開始已經(jīng)有詐騙者使用這種方法進(jìn)行釣魚,不過至今 X 也沒有解決這類問題。
附注 1:
X/Twitter 爬蟲的完整信息:TwitterBot/1.0