繼特朗普安全顧問的網(wǎng)站被曝光存在嚴(yán)重安全漏洞后����,特朗普本人的Twitter賬號(hào)最近也被黑客玩壞,在其推文中嵌入了搞笑視頻����。
近日黑客在網(wǎng)絡(luò)上公布了攻擊方法,并且經(jīng)驗(yàn)證可以篡改包括水果姐(Katy Perry)�����、夏奇拉等一票天后名流的推文�����,該攻擊方法無需破解社交賬戶���,而是利用廢棄域名做文章����,對(duì)于廣大信息安全工作者和企業(yè)來說也是腦洞大開�����,IT經(jīng)理網(wǎng)為大家編譯如下:
你也許聽說過@realDonaldTrump的一條推文信息最近被比利時(shí)安全研究員Inti De Ceukelaire(@securinti) ‘劫持’的消息����。
特朗普提到了一個(gè)全國(guó)成功者大會(huì)的網(wǎng)站��,nac2012.com��,這個(gè)域名從前的擁有者并沒有續(xù)費(fèi)�����。因此Inti可以可以買下這個(gè)域名并且做了一個(gè)指向YouTube的跳轉(zhuǎn)�����。
然后特朗普的那條推文上就出現(xiàn)了這樣一條搞笑視頻(令人不解的是�����,發(fā)布此文時(shí)這條視頻依然顯示在特朗普的官方推文中):
在這個(gè)”后真相”假新聞泛濫的時(shí)代�����,點(diǎn)擊誘導(dǎo)可能是一個(gè)欺騙人們來點(diǎn)擊一個(gè)鏈接的最好的方法���。你會(huì)不會(huì)更傾向于去點(diǎn)一個(gè)Katy Perry發(fā)出的推特上面的鏈接呢?
所以�,我認(rèn)為排查一下排名前1000的twitter賬戶是一個(gè)不錯(cuò)的注意(:
為此���,我寫了一小段python腳本。有那么一點(diǎn)凌亂并且我之后優(yōu)化了一些����,基本就是讓它變得更簡(jiǎn)單�����,它做了如下的事情:
- 從一個(gè)用戶那里下載能下到的所有推特
- 在推特中提取域名
- 驗(yàn)證域名是否可以注冊(cè)
如果您看不到上面代碼框請(qǐng)?jiān)L問Github源碼地址
結(jié)論
我本十分確信有人已經(jīng)很積極的做了這件事情所以我不可能找到任何可用的域名��,但是我錯(cuò)了����。我在排名前1000的twitter賬戶中找到了109個(gè)可用的域名,并且我認(rèn)為這個(gè)結(jié)果還可以被進(jìn)一步提高�。
如下就是Top 10:
- Katty Perry, @katyperry , 95.6M
- Shakira, @shakira, 42.7M
- Jennifer Lopez, @JLo, 39.3M
- Aamir Khan, @aamir_khan, 19.8 M
- Agnez Mo, @agnezmo, 16.2M
- Triple X Movie???, @deepikapadukone, 17.3M
- Maroon 5, @maroon5, 13.7M
- shaquille o’neal, @SHAQ, 13.2M
- Thalia, @thalia, 8.77M
- Pegg News, @simongpegg, 6.63M
問題與對(duì)策
上述方法面臨的最大問題就是Twitter API。你只能為一個(gè)用戶調(diào)用user_timeline()16次��,count=200�。也就是說你只能下載16*200=3200條推文。此外����,他們還限制API訪問����,所以這個(gè)過程非常耗時(shí)�����。
最好的辦法就是要么有所有twitter的權(quán)限要么就是開始存儲(chǔ)它們���。我沒有找到一家服務(wù)提供了所有用戶的所有推特但是一些網(wǎng)站比如說 TrumpTwitterArchive(http://www.trumptwitterarchive.com/)歸檔了@POTUS 和其它政治數(shù)據(jù)但是它們并不提供API��。 然而我們可以使用Selenium/Scrapy來爬取它們�����。
我還注意到很多的bit.ly和smarturl.it的鏈接我沒有記錄如果它們是雙重的短地址���。如果追蹤這些地址可能還會(huì)找到更多潛在的結(jié)果。在pythonwhois模塊的支持下�����,我找到了一些漏網(wǎng)的頂級(jí)域名�����。
歡迎在Github上發(fā)送PR或者fork我的代碼。
