推特国家,站出来:星期四Twitter上的点击劫持攻击现在已经被修复。
Twitter Clickjacking:“不要点击”
看起来Twitter的点击劫持并不是真正的主要威胁,但更多的是轻微的烦恼。以下是发生了什么情况:有人会发布消息“不要点击”,以及掩盖的网址。如果您点击链接,相同的消息会自动发布到您的Twitter帐户。然后,你的一个朋友最终会看到你的消息,好奇并点击它 - 从而产生病毒式传播的效果。“
不要点击”好的反向心理学“最好的。猜猜这些东西真的有用。 (注意自己:开始向有吸引力的女士发送电话号码,并注明:“不要打电话。”)
推文背后的真相
那么这里究竟发生了什么?阳光实验室的酷猫说这是关于iframe的。 “这个'病毒'所做的是创建一个页面的iframe,隐藏它,当你点击该按钮并且登录到Twitter时,它会让你发布该消息(即使你没有看到它), “Sunlight实验室主任Clay Johnson在他的博客中解释道。 “没有涉及到JavaScript,”他说,“你可以在这里看到bug的完整代码。当然,你所能做的只是阅读它。它不会工作了。
Twitter Fixers
Twitter的团队能够在几个小时内阻止该错误。 “'不要点击'+链接的东西是'点击劫持'黑客攻击,”Twitter首席执行官埃文威廉姆斯在下午1点30分左右写道。 ET。 “不要点击它,现在解决问题,”他的推特指示道,“瞬间,运营工程师约翰·亚当斯(John Adams)更加熟悉追随者为他的Twitter手柄”Netik“,并宣布这一缺陷已得到修复。
“我们在10分钟前修补了'不要点击'点击劫持攻击,”他指出。 “问题应该消失。”
Twitter的官方博客现在提供了更多的见解:
“幸运的是,危害仅限于不断重新发布链接,但我们非常认真地对Twitter用户进行恶意攻击,今天上午我们提交了一个阻止这种点击劫持技术的更新。“
至少我们可以安心地知道Hammer从这件事情中保持安全。那家伙太合法了,不能点击。
(抱歉,无法抗拒。)