先生们女士们，今天共亨的这篇是Twitter上的一个Dos系统漏洞。使用此系统漏洞，只需发送到一个Twitter朋友圈，即可促发Twitter后端开发网络服务器解析错误，造成您和您的粉丝账号没法刷出。特别社交圈的朋友。 从XSS打开创口 DoS进攻一般是对特殊类型资源（比如网站，手机应用程序或网络服务器）的特殊恳求进攻。进攻可能造成资源服务没用甚至功能。

最初，我准备试着在Twitter手机网站（mobile.twitter.Com）上找寻XSS系统漏洞，但我徒劳无功。但之后，我登陆了Twitter移动官方网站，打开了一个提示框进行检测，并重复发送到各种Payloads，并希望得到一些有效的XSS分析没有响应。以下就是我的工作流程的一般定义： 我注意到当用户向Twitter发送到网页地址连接时，Twitter将使用自己的短网页地址服务将用户的网页地址链接转换为“t.co”前缀域款式。这个是正常的。

Twitter加入了短网页地址服务，以保护用户免遭故意连接的进攻，有点儿类似Facebook的重定向自动跳转保护服务Linkshim。但是，当您使用“twitter.Com”子域或“mobile.twitter.Com”网站发送到网页地址连接时，它不会添加“t.co”前缀备案域名款式，哦，这. 这有点儿趣味，因为大部分当代互联网技术网站都对于用户的持续操作恳求。为了提升用户体验设计和没有响应速率，他们不会通过网络服务器再次载入整个网页页面，而是通过AJAX或XMLHttpRequests在网站后台实行它们。恳求保持重量级恳求信息交互。比如，当您试着从Twitter网站系统外界网络访问htpp://mobile.twitter.Com/notifications连接时，Twitter后端开发网络服务器的确需要完全载入此网页页面;但如果您来源于Twitter内部结构信息系统来网络访问此连接，则Twitter后端开发网络服务器只能通过一些javascript脚本保持3D渲染载入，而无须实行整个网页页面的载入。 因而，从这个多角度看来，我以前的XSS系统漏洞发现的看法是，我要发送到一条属于Twitter自己的网站网页地址的新消息，并在Twitter网站系统中含有XSS Payload自变量。