最新Twitter XSS + CSRF 漏洞完整披露【附PoC】

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。文章首发于个人博客：https://mybeibei.net，点击最下方“阅读原文”可直接跳转查看。背景介绍通过点击精心设计的链接或访问某些精心设计的网页，将允许攻击者接管受害者帐户（从而使用受害者帐户进行发帖、点赞、甚至更新个人资料、删除帐户等操作），不知道大家还记得新浪微博2011年曾受到过xss蠕虫攻击的事件不？12月11日，推特网友 rabbit@_2333 在推特上发布了子域 https://analytics.twitter.com 上关于XSS的详细信息，让我们来看看这个漏洞是如何被发现，又是如何实现的吧～漏洞披露首先这个 XSS 漏洞似乎只能弹出一个警告框，因为：Twitter 的 Cookies 是 HttpOnly的，意味着使用 ………………………………