余弦:攻击者利用Cointelegraph网站的XSS漏洞发起针对加密行业的XSS攻击

2024/11/28 09:04

Odaily星球日报讯 慢雾余弦于 X 发文表示:“又一起针对 Crypto 行业的 XSS 攻击,攻击者利用 Cointelegraph 网站的 XSS 漏洞,诱骗目标用户打开 Cointelegraph 官网链接(带 XSS 恶意脚本,图 1 地址栏),于是:

-恶意脚本加载执行;

-地址栏被设置成 https://cointelegraph[.]com/not-public/drafts/article-1033,一看还以为是官方未发布的草稿;

-接着弹出 Sign in with X 的伪造框;

-点击 Sign in with X 后打开 X 的第三方应用授权,权限列表那处留了超大段空白,非常鸡贼...此时如果没留意点击了授权,你的 X 有关权限就被攻击者接管了 

-剩下的自行脑补,这种稍微带点漏洞利用的钓鱼对应大众来说更是防不胜防,注意了。”

原文链接
最新快讯
15:56
质押和验证服务商Arthapala疑似抛售4120枚ETH,价值1219万美元
15:53
Arthur Hayes疑似过去1天购入价值150.5万美元的ENA代币
15:39
继Coinbase之后,OpenSea、MoonPay、波卡等项目官方账号头像换为胖企鹅形象
15:22
美比特币ETF首次连续两日净流入超10亿美元,仅有7次日流入量超10亿美元
15:12
币安Alpha已上线peaq(PEAQ)
推荐阅读