本站訊 慢霧余弦于 X 發(fā)文表示：“又一起針對 Crypto 行業(yè)的 XSS 攻擊，攻擊者利用 Cointelegraph 網(wǎng)站的 XSS 漏洞，誘騙目標(biāo)用戶打開 Cointelegraph 官網(wǎng)鏈接（帶 XSS 惡意腳本，圖 1 地址欄），于是：＜span style="display：inline !important；"＞＜/span＞ ＜span style="display：inline !important；"＞-惡意腳本加載執(zhí)行；＜/span＞ ＜span style="display：inline !important；"＞-地址欄被設(shè)置成 https://cointelegraph[.]com/not-public/drafts/article-1033，一看還以為是官方未發(fā)布的草稿；＜/span＞ ＜span style="display：inline !important；"＞ -接著彈出 Sign in with X 的偽造框；＜/span＞ ＜span style="display：inline !important；"＞-點(diǎn)擊 Sign in with X 后打開 X 的第三方應(yīng)用授權(quán)，權(quán)限列表那處留了超大段空白，非常雞賊...此時(shí)如果沒留意點(diǎn)擊了授權(quán)，你的 X 有關(guān)權(quán)限就被攻擊者接管了 ＜/span＞ ＜span style="display：inline !important；"＞-剩下的自行腦補(bǔ)，這種稍微帶點(diǎn)漏洞利用的釣魚對應(yīng)大眾來說更是防不勝防，注意了。”＜/span＞