繼特朗普安全顧問的網站被曝光存在嚴重安全漏洞后，特朗普本人的Twitter賬號最近也被黑客玩壞，在其推文中嵌入了搞笑視頻。

近日黑客在網絡上公布了攻擊方法，并且經驗證可以篡改包括水果姐(Katy Perry)、夏奇拉等一票天后名流的推文，該攻擊方法無需破解社交賬戶，而是利用廢棄域名做文章，對于廣大信息安全工作者和企業來說也是腦洞大開，IT經理網為大家編譯如下：

你也許聽說過@realDonaldTrump的一條推文信息最近被比利時安全研究員Inti De Ceukelaire(@securinti) ‘劫持’的消息。

Trump提到了一個全國成功者大會的網站，nac2012.com，這個域名從前的擁有者并沒有續費。因此Inti可以可以買下這個域名并且做了一個指向YouTube的跳轉。

在這個”后真相”假新聞泛濫的時代，點擊誘導可能是一個欺騙人們來點擊一個鏈接的最好的方法。你會不會更傾向于去點一個Katy Perry發出的推特上面的鏈接呢？

所以，我認為排查一下排名前1000的twitter賬戶是一個不錯的注意(:

為此，我寫了一小段python腳本。有那么一點凌亂并且我之后優化了一些，基本就是讓它變得更簡單，它做了如下的事情：

從一個用戶那里下載能下到的所有推特 在推特中提取域名 驗證域名是否可以注冊 如果您看不到上面代碼框請訪問Github源碼地址結論

我本十分確信有人已經很積極的做了這件事情所以我不可能找到任何可用的域名，但是我錯了。我在排名前1000的twitter賬戶中找到了109個可用的域名，并且我認為這個結果還可以被進一步提高。

如下就是Top 10：

Katty Perry, @katyperry , 95.6M Shakira, @shakira, 42.7M Jennifer Lopez, @JLo, 39.3M Aamir Khan, @aamir_khan, 19.8 M Agnez Mo, @agnezmo, 16.2M Triple X Movie???, @deepikapadukone, 17.3M Maroon 5, @maroon5, 13.7M shaquille o’neal, @SHAQ, 13.2M Thalia, @thalia, 8.77M Pegg News, @simongpegg, 6.63M

問題與對策

上述方法面臨的最大問題就是Twitter API。你只能為一個用戶調用user_timeline()16次，count=200。也就是說你只能下載16*200=3200條推文。此外，他們還限制API訪問，所以這個過程非常耗時。

最好的辦法就是要么有所有twitter的權限要么就是開始存儲它們。我沒有找到一家服務提供了所有用戶的所有推特但是一些網站比如說 TrumpTwitterArchive（http://www.trumptwitterarchive.com/）歸檔了@POTUS 和其它政治數據但是它們并不提供API。 然而我們可以使用Selenium/Scrapy來爬取它們。

我還注意到很多的bit.ly和smarturl.it的鏈接我沒有記錄如果它們是雙重的短地址。如果追蹤這些地址可能還會找到更多潛在的結果。在pythonwhois模塊的支持下，我找到了一些漏網的頂級域名。

歡迎在Github上發送PR或者fork我的代碼。