Muchos bots me envían este enlace en twitter, y obviamente debe ser algo malicioso. ¿Alguien puede explicar de manera detallada qué hace este enlace y cuál es la vulnerabilidad aquí?
Este es el enlace:
Se configura y envía algunas variables a youtube, luego me desconecta y luego me envía a un enlace un poco más corto:
hxxp://bitly.com/2vK4Fga#1007310965585731584
Lo acorté y volví con esto:
hxxps://www.baidu.com/link?url=rZncHEMCsf6lt8ulV0jdARLcZOqlmQgim4767m7Jgya&wd=&eqid=c152d8470000dc7c000000065b734ee3
¡El sitio es un motor de búsqueda chino! Cuando hice clic en este enlace en mi máquina virtual, fui a este sitio web: hxxp://www.twitob.com/
, que es una especie de sitio de seguidores seguidores de Twitter.
¿Qué está haciendo este enlace? Entiendo que está configurando algunas variables como ilo o ils y esas cosas, pero no sé qué son y por qué establecerlas en estos valores específicos. ¿Cuáles son estas variables?
También encontré un informe sobre algo similar a esto:
hxxps://www.openbugbounty.org/reports/222365/
pero no estoy seguro de si son la misma vulnerabilidad o no, y ese informe no explica nada.
Una cosa más extraña es que, por lo general, puedo desensamblar fácilmente los enlaces t.co
de twitter, pero cuando desarticulo el enlace t.co
que twitter me dio para estos enlaces, se convirtió en este, sin importar el sitio web que use:
hxxps://www.google.com/url?sa=D&q=https://bitly.com/2vK4Fga&ust=1535028318764694&usg=AFQjCNF2RgdA4d9RaMK6foDsWn51_W3yYA
Pero puedes ver claramente que el enlace real es algo diferente, ¿qué está pasando?