如何你的Twitter粉絲無法刷新朋友圈

這篇文章將為大家詳細講解有關如何你的Twitter粉絲無法刷新朋友圈，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

大家好，今天分享的這個writeup是關于Twitter的一個Dos漏洞，利用該漏洞，只需發(fā)送一條推特朋友圈，就可以觸發(fā)Twitter后端服務器解析錯誤，導致你和你的粉絲賬戶無法刷新推特朋友圈。

從XSS入手打開切口

DoS攻擊一般是指針對某一類型資源（如網站、應用程序或服務器）的特定請求攻擊，攻擊可以造成該資源服務失效，甚至功能癱瘓。

剛開始，我原本打算去嘗試發(fā)現Twitter移動官網（mobile.twitter.com）上的XSS漏洞，但卻一無所獲。但后來，我登錄進Twitter移動官網，開啟了一個對話框進行測試，在其中反復發(fā)送了各種Payload，想獲得一些有效的XSS解析響應。以下是我的一個大致思路過程：

我注意到，用戶在Twitter中發(fā)送任意URL鏈接時，Twitter會用自身短網址服務把用戶的發(fā)送URL鏈接轉變?yōu)椤皌.co”前綴域名樣式，這是正常情況。短網址服務是Twitter為保護用戶免受惡意鏈接威脅而引入的，有點類似Facebook的重定向跳轉保護服務Linkshim。但是，當你用“twitter.com”子域名或是“mobile.twitter.com”網站來發(fā)送URL鏈接時，卻不會生成“t.co”前綴域名樣式，哦，這......。

這就有點意思了，因為大多現代Web技術網站針對用戶的連續(xù)操作請求，為了增加用戶體驗和響應效率，都不會重新通過服務器加載整個頁面，而是經由異步通信方式的AJAX或XMLHttpRequests在后臺執(zhí)行請求，實現輕量級請求交互。就比如說，當你從Twitter網站系統(tǒng)之外的地方，試圖去訪問https://mobile.twitter.com/notifications這個鏈接，此時，Twitter后端服務器確實是需要完整地加載這個頁面；但如果你從Twitter網絡系統(tǒng)內部來訪問這個鏈接，Twitter后端服務器卻只通過某些javascript腳本就能實現渲染加載，而不需要執(zhí)行整個頁面的加載。    

所以，從這個點來講，我原先構造的XSS漏洞發(fā)現思路是，希望在Twitter網站系統(tǒng)內部，通過發(fā)送一條屬于Twitter自身網站URL且包含XSS Payload變量的消息。

XSS漏洞到Dos漏洞的發(fā)現

我一開始構造的XSS Payload鏈接是這樣的：

https://mobile.twitter.com/?'"><img/src=x/onerror=alert(1)>

我猜想，如果在Twitter網站系統(tǒng)之外，可能不會生效，但如果在Twitter網站系統(tǒng)內部，因加載方式不同可能會觸發(fā)一些不同的東西。所以，圍繞這類XSS Payload我就反復進行發(fā)送測試。

后來，我發(fā)現，其中包含有"%u003e"的一個XSS payload竟然會導致一個Twitter服務錯誤！而且這個錯誤會讓我看不到任何Twitter的會話消息！這就更有意思了！為什么呢？

這個十六進制的%u003e經Urldecode后明顯是大于符號 >，但是，Twitter卻無法對它進行解析處理！之后，我又嘗試了包含 “%xx” 等樣式的URL鏈接進行發(fā)送，簡單地就像https://mobile.twitter.com/%xx，這下又來了，還是產生了同樣的錯誤！

我猜測，%xx不是一個有效的十六進制值，可能Twitter后端想嘗試對它進行匹配解析，但是卻在其內部服務中找不到%xx的對應解析值，所以，每當用戶請求包含%xx且屬于Twitter網站的URL鏈接時，Twitter后端就拋出這個錯誤。

基于此，我就想那我用這個包含%xx的鏈接 https://mobile.twitter.com/%xx 來發(fā)條推特朋友圈吧，可能大家無法想像，這簡直讓我嚇掉了下巴！包含這條鏈接的朋友圈一發(fā)出去，我的朋友圈就刷不出來了，而且，連我Twitter賬戶中的粉絲也都無法刷新朋友圈了！注意，這里是Twitter移動官網（mobile.twitter.com）的情況，那么，Twitter主站會有這種情況嗎？

拭目以待，但是，經測試，Twitter主站不存在上述情況，現在怎么辦呢？有沒有其它變通方法？哈哈，經過一番研究，我發(fā)現，可以以下通過鏈接 - https://twitter.com/i/onboarding/verify ，強制把電腦顯示界面強制轉換為手機顯示界面！步驟為：

1、在電腦端登錄Twitter賬戶；

2、在當前瀏覽器頁面中粘貼進https://twitter.com/i/onboarding/verify，訪問；

3、點擊隨后彈框出現的 “Got it” 按鈕；

4、現在，你就處于手機顯示界面了。

參照Twitter移動官網的測試方法，經測試，用鏈接https://twitter.com/%xx發(fā)了朋友圈之后，當前我自己賬戶的朋友圈和我賬戶中粉絲的朋友圈也都無法刷新了！

關于如何你的Twitter粉絲無法刷新朋友圈就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。