吳說獲悉,慢霧創始人餘弦披露了一起針對加密行業的 XSS 攻擊,攻擊者利用加密媒體 Cointelegraph 網站的 XSS 漏洞,誘騙目標用戶打開 Cointelegraph 官網鏈接(帶 XSS 惡意腳本),於是:惡意腳本加載執行;地址欄被設置成可疑地址(一看還以爲是官方未發佈的草稿);接着彈出 Sign in with X 的僞造框;點擊 Sign in with X 後打開 X 的第三方應用授權,權限列表那處留了超大段空白,此時如果沒留意點擊了授權,你的 X 有關權限就被攻擊者接管了。這種稍微帶點漏洞利用的釣魚對應大衆來說更是防不勝防,需多加註意。
