看我如何让你和你的Twitter粉丝无法刷新朋友圈

看我如何让你和你的Twitter粉丝无法刷新朋友圈

入侵渗透hacker2019-06-04 9:25:2510652A+A-

先生们女士们,今日共享的这一writeup是有关Twitter的1个Dos系统漏洞,运用该系统漏洞,只需上传这条twiter微信朋友圈,就能够开启Twitter后端开发网络服务器解析错误,造成你陪你的粉絲帐户没法更新twiter微信朋友圈。

从XSS下手开启创口

DoS进攻通常就是指对于某一种类資源(如网址、手机应用程序或网络服务器)的特殊post请求进攻,进攻能够导致该資源服务项目无效,以至于作用偏瘫。

一开始,我本来准备去试着发觉Twitter移动官网(mobile.twitter.Com)上的XSS系统漏洞,但却徒劳无功。但之后,我登陆进Twitter移动官网,打开了1个提示框开展检测,之中不断上传了各种各样Payload,想得到某些合理的XSS分析没有响应。下列是我的一个大概构思全过程:

我特别注意到,客户在Twitter中上传随意URL连接时,Twitter用到本身短网址服务项目把客户的上传URL连接变化为“t.co”前缀网站域名款式,它是一切正常状况。短网址服务项目是Twitter为维护客户免遭故意连接威协而导入的,有点儿相近Facebook的重定向自动跳转维护服务项目Linkshim。可是,如果你用“twitter.Com”子域名或者“mobile.twitter.Com”网址来上传URL连接时,却不容易转化成“t.co”前缀网站域名款式,哦,这……。

这就有点儿意思了,由于大多数当代web技术性网址对于客户的持续实际操作post请求,以便提升客户体验和没有响应高效率,都不容易再次根据网络服务器载入全部网页页面,只是经过异步通信方法的AJAX或XMLHttpRequests在后台管理实行post请求,建立重量级post请求互交。就例如,如果你从Twitter网站程序以外的地区,视图去浏览https://mobile.twitter.Com/notifications这一连接,这时,Twitter后端开发网络服务器的确是必须详细地载入这一网页页面;但当你从Twitter应用系统內部来浏览这一连接,Twitter后端开发网络服务器却只根据一些javascript脚本制作就能建立3D渲染载入,而不用实行全部网页页面的载入。

因此,从这一点而言,我原来结构的XSS系统漏洞发觉构思是,期待在Twitter网站程序內部,根据上传这条归属于Twitter本身网址URL且包括XSS Payload自变量的信息。

XSS系统漏洞到Dos系统漏洞的发觉

看我如何让你和你的Twitter粉丝无法刷新朋友圈 第1张

我就刚开始结构的XSS Payload连接是那样的:

https://mobile.twitter.Com/?‘”><img/src=x/onerror=alert(1)>

我猜测,要是在Twitter网站程序以外,将会不容易起效,但要是在Twitter网站程序內部,因载入方法不一样将会会开启某些不一样的物品。因此,紧紧围绕这种XSS Payload我也不断开展上传检测。

之后,我发现了,至少包括有“%u003e”的1个XSS payload居然会造成1个Twitter服务项目不正确!并且这一不正确会要我看不见一切Twitter的应用程序信息!这就更有趣了!怎么回事?

这一十六进制的%u003e经Urldecode后显著是大于符号 >,可是,Twitter却没法对它开展分析解决!以后,我又试着了包括 “%xX” 等款式的URL连接开展上传,简易地如同https://mobile.twitter.Com/%xX,这一下来了,還是造成了一样的不正确!

我猜想,%xX并不是1个合理的十六进制值,将会Twitter后端开发想试着对它开展配对分析,可是却在其內部服务项目中找不着%xX的相匹配分析值,因此,当我客户post请求包括%xX且归属于Twitter网址的URL连接时,Twitter后端开发就抛出去这一不正确。

应用场景此,我也想那我用这一包括%xX的连接 https://mobile.twitter.Com/%xX 来发条twiter微信朋友圈吧,将会大伙儿没法想象,这真是要我吓没了下颌!包括那条连接的微信朋友圈一发出来,我的朋友圈就刷不出来,并且,连我Twitter帐户中的粉絲也都没法更新微信朋友圈了!特别注意,这儿是Twitter移动官网(mobile.twitter.Com)的状况,那麼,Twitter主站会有这样的事情吗?

翘首以待,可是,经检测,Twitter主站找不到上述情况,如今该怎么办呢?有木有其他变通方法?嘿嘿,历经几番科学研究,我发现了,能够下列根据连接 – https://twitter.Com/i/onboarding/verify ,强制性把电脑上显示信息页面强制转换为手机上显示信息页面!流程为:

1、在pc端登陆Twitter帐户;

2、在当今电脑浏览器网页页面中黏贴进https://twitter.Com/i/onboarding/verify,浏览;

3、点一下紧接着弹框出現的 “Got It” 按键;

4、如今,我也处在手机上显示信息页面了。

参考Twitter移动官网的测试标准,经检测,用连接https://twitter.Com/%xX发了微信朋友圈以后,


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 痛言美咩2022-05-30 10:41:59
  • witter主站会有这样的事情吗?翘首以待,可是,经检测,Twitter主站找不到上述情况,如今该怎么办呢?有木有其他变通方法?嘿嘿,历经几番科学研究,我发现了,能够下列根据连接
  • 嘻友照雨2022-05-30 13:31:15
  • t(1)>我猜测,要是在Twitter网站程序以外,将会不容易起效,但要是在Twitter网站程序內部,因载入方法不一样将会会开启某些不一样的物品。因此,紧紧围绕这种XSS Payload我也不断开展上传检测。之后,我发现了,至少包括有“%u003e”的1个XSS payl

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理