今天放在国内的twitter客户端上的蠕虫果然也还算猛。不过仅仅是发个推,关注下我,没干别的坏事,但是某些敏感的极端右派还是有很多感觉很受伤,甚至将我描绘成了共产主义的接班人,竟然认为我是公匪派来摧毁所有第三方客户端的,晕死,我又不是奥特曼,我怎么会那么强大。而且在我解释了以后,竟然有人还这么认为,再怎么说我的twitter签名也是个右派的签名啊,而且我基本只玩新浪微博,不玩推特,但还是搭建了个推特中文圈,这是多么雷锋的精神啊,唉,真是为中国的民主化进程感到担忧

twitter的安全的确做的很棒,想在那上面玩跨站基本没戏
但由于国情的原因,国内的twitter用户大多用的都是客户端,所以如果跨了这些客户端,也基本能达到twitter大中华区伪跨站的效果,于是我看了下用的最广的推特中文圈的代码,有些反射的xss,但总感觉用的会不爽,因为推特客户端种类很多,我不至于每个都去找XSS啊,于是想到了最原始的远程form提交,试了下,果然没做http referer判断,再看下别的客户端,果然也没有限制,基本上可以搞定大部分的客户端了

很快一个思路就有了,原理很简单,技术超简单。建一个页面a.php,放个美女图片,再iframe几个自动提交表单的页面b.php,c.php,因为不同的客户端提交地址会不同,我只加了两种,不过好像可以囊括大部分种类的客户端,a.php把http referer中的蠕虫所在网站的地址传给b.php,c.php,b.php,c.php再去自动提交发布推特,里面包含着随机的诱惑性话语和一个链接地址

然后我再亲自亲手在客户端里点下链接,诱惑性话语就发到自己的推特上了,基本上受过9年制义务教育的男女人看到后都会去点,然后就……,这样就可以跨好多站了,这种情况也就是在客户端这种应用上可以出现

很多半瓶子醋的人看到了我记录了客户端的地址,就说我是在收集第三方推特站的地址然后上交给国务院,心理真够阴暗的,希望你现在能看懂我为什么要记地址了

Comments
Write a Comment