继特朗普安全顾问的网站被曝光存在严重安全漏洞后,特朗普本人的Twitter账号最近也被黑客玩坏,在其推文中嵌入了搞笑视频。
近日黑客在网络上公布了攻击方法,并且经验证可以篡改包括水果姐(Katy Perry)、夏奇拉等一票天后名流的推文,该攻击方法无需破解社交账户,而是利用废弃域名做文章,对于广大信息安全工作者和企业来说也是脑洞大开,IT经理网为大家编译如下:
你也许听说过@realDonaldTrump的一条推文信息最近被比利时安全研究员Inti De Ceukelaire(@securinti) ‘劫持’的消息。
特朗普提到了一个全国成功者大会的网站,nac2012.com,这个域名从前的拥有者并没有续费。因此Inti可以可以买下这个域名并且做了一个指向YouTube的跳转。
然后特朗普的那条推文上就出现了这样一条搞笑视频(令人不解的是,发布此文时这条视频依然显示在特朗普的官方推文中):
在这个”后真相”假新闻泛滥的时代,点击诱导可能是一个欺骗人们来点击一个链接的最好的方法。你会不会更倾向于去点一个Katy Perry发出的推特上面的链接呢?
所以,我认为排查一下排名前1000的twitter账户是一个不错的注意(:
为此,我写了一小段python脚本。有那么一点凌乱并且我之后优化了一些,基本就是让它变得更简单,它做了如下的事情:
我本十分确信有人已经很积极的做了这件事情所以我不可能找到任何可用的域名,但是我错了。我在排名前1000的twitter账户中找到了109个可用的域名,并且我认为这个结果还可以被进一步提高。
如下就是Top 10:
上述方法面临的最大问题就是Twitter API。你只能为一个用户调用user_timeline()16次,count=200。也就是说你只能下载16*200=3200条推文。此外,他们还限制API访问,所以这个过程非常耗时。
最好的办法就是要么有所有twitter的权限要么就是开始存储它们。我没有找到一家服务提供了所有用户的所有推特但是一些网站比如说 TrumpTwitterArchive(http://www.trumptwitterarchive.com/)归档了@POTUS 和其它政治数据但是它们并不提供API。 然而我们可以使用Selenium/Scrapy来爬取它们。
我还注意到很多的bit.ly和smarturl.it的链接我没有记录如果它们是双重的短地址。如果追踪这些地址可能还会找到更多潜在的结果。在pythonwhois模块的支持下,我找到了一些漏网的顶级域名。
欢迎在Github上发送PR或者fork我的代码。
新闻热点
新闻爆料
