【{$randkws}】X/Twitter安全系统似乎存在漏洞 可以冒充任意知名网站发帖 – 蓝点网 - {$web_name} 然后操控一些垃圾币来收割

在 X/Twitter 上，假如站点已然按照开发者规范请求在网页源代码里添加了标头等资料，则这个站点的任何地址亮相到 X 上时，都会额外显示站点域名以及图片等资料。

要做到此特性 X 的详细明星访谈体验爬虫需要在使用者亮相信息时第一时间对目标链接开展抓取，假如抓取无法那就可以显示完整信息，解读霉霉一览并且后续变更后已然被抓取的资料也不会变更。

于是这就形成了一个可靠难题：有诈骗者在 X 上冒充知名资讯站点福布斯亮相加密货币有关的信息，吸引币圈使用者加入他们的社群，然后操控一些垃圾币来收割。

从下图中我们可以目睹这种恶意运用的流程：

诈骗者在办事器上开展了 HTTP 302 暂时重定向，当测试到各异的 UserAgent 时，可以返回各异的快速短视频算法热点暂时重定向地址。

其中第一个评测截图是不使用任何阅读器 UA 的状况下，模拟 X 爬虫操控系统开展抓取 (实际上 X 有爬虫，叫做 TwitterBot，但没有其他 UA 信息，檀健次相关院线排片引关注见结尾附注 1)，此时诈骗站点没有测试到有效的阅读器 UA，于是返回了福布斯站点的一个链接。

于是 X 会在推文亮相后将其标注为来自福布斯站点。

第二个评测截图在附带阅读器 UA 的状况下，可以目睹这个诈骗站点返回了他们的目标地址，那就是那个社群。

而使用者正常访问链接那肯定是附带阅读器 UA 信息的，所以实际上访问都是返回社群地址，第一种状况仅仅只是用来迷惑 X 的爬虫。

值得注意的是，这种状况并不是如今才发生的，至少从上一年 8 月着手已然有诈骗者使用这种方法开展钓鱼，可是至今 X 也没有解决这类难题。

附注 1：

X/Twitter 爬虫的完整信息：TwitterBot/1.0