*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

大家好，今天分享的这个writeup是关于Twitter的一个Dos漏洞，利用该漏洞，只需发送一条推特朋友圈，就可以触发Twitter后端服务器解析错误，导致你和你的粉丝账户无法刷新推特朋友圈。

DoS攻击一般是指针对某一类型资源（如网站、应用程序或服务器）的特定请求攻击，攻击可以造成该资源服务失效，甚至功能瘫痪。

刚开始，我原本打算去尝试发现Twitter移动官网（）上的XSS漏洞，但却一无所获。但后来，我登录进Twitter移动官网，开启了一个对话框进行测试，在其中反复发送了各种Payload，想获得一些有效的XSS解析响应。以下是我的一个大致思路过程：

我注意到，用户在Twitter中发送任意URL链接时，Twitter会用自身短网址服务把用户的发送URL链接转变为“”子域名或是“”网站来发送URL链接时，却不会生成“）的情况，那么，Twitter主站会有这种情况吗？

拭目以待，但是，经测试，Twitter主站不存在上述情况，现在怎么办呢？有没有其它变通方法？哈哈，经过一番研究，我发现，可以以下通过链接 - ，强制把电脑显示界面强制转换为手机显示界面！步骤为：

1、在电脑端登录Twitter账户；

2、在当前浏览器页面中粘贴进，访问；

3、点击随后弹框出现的 “Got it” 按钮；

4、现在，你就处于手机显示界面了。

参照Twitter移动官网的测试方法，经测试，用链接发了朋友圈之后，当前我自己账户的朋友圈和我账户中粉丝的朋友圈也都无法刷新了！PoC漏洞验证视频如下：

一张网络上可以随时复制下载的JPEG图片卖出6900万美元，一条推特卖出290万美元，一段75秒的音频卖出6600美元……这听起来不可思议，但它们正在真实的发生。而造就这一切的源自一个对绝大多数人还很陌生的概念：NFT（非同质化代币）。

最近，包括马斯克等人的炒作，让NFT概念又站上了风口浪尖。NFT是什么？它究竟是炒作还是风口？它的未来有何去何从？本文将带您详细了解。

要理解非同质化代币（NFT），首先要理解什么叫同质化。

所谓同质化，就是指资产之间遵循着相同的规则，并且可以自由分割和交易置换。

比如我们日常生活中所使用的钞票，尽管每张100元纸钞上的编码都不同，但他们都是由央行发行，都拥有同样的购买力，也可以自由交换，此外，100元纸钞也可以换成2张50元或10张10元纸钞。

在游乐场里，同样面值的游戏币在游乐场中的购买力也是相同的，同时大面值游戏币也可以交换成几个小面值的游戏币。在数字货币领域也是类似，在同一个时间点，每一枚比特币所能代表的市值也是相同的，同时比特币也可以分割成0.5或0.01个比特币，比特币之间也可以进行交换。这些就是同质化代币的特征。

而非同质化则与之完全相反。非同质化意味着完全独特且唯一，并且不能分割、彼此之间不能自由交换。这听起来有些抽象，但其实对于绝大部分人来说并不会很难理解，因为我们早就在生活中接触过非同质化数字资产了。

比如我们玩《王者荣耀》等网游时所购买的皮肤、腾讯QQ靓号、一些独特的域名等，这些资产也可以被看做非同质化数字资产：他们都具有一定价值（比如腾讯QQ靓号曾经被炒作到数万元），都是独特的（不同的QQ靓号的价值可能各不相同），且不可分割（一个靓号不能分割成两个)、不能彼此置换（不同的靓号之间不能自由直接交换）。

而非同质化代币则是基于区块链背景的非同质化数字资产。

非同质化代币发源于2018年诞生的以太坊ERC 721 协议。根据这一协议，可以在区块链上创建非同质化代币。

全球首款区块链游戏CryptoKitties（加密猫）就是基于以太坊ERC 721 协议开发的。在这个游戏中，玩家可以拥有虚拟猫咪，每一只猫都是独一无二的，且无法被复制或销毁。这些虚拟的猫咪本质上就是非同质化代币，部分稀有的高人气猫咪甚至被炒作到数十万美元的身价。

理论上来说，NFT可以是任何数字化的东西：声音、图像、一段文字、一件游戏里的道具等等，其应用范围取决于人们的想象力。而目前它应用最广泛的还是艺术领域。

截止目前，已经有不少艺术家将自己的艺术作品（画作、音频、视频等）上传到NFT拍卖市场来创建NFT，而买家可以通过加密货币来购买。

比如最为出名的，就是前沿艺术家Beeple创作的JPG图片文件《每一天：最初的5000天》（Everydays: The First 5000 Days）。这张图是Beeple将5000张日常画作拼接在一起的图片，该作品的NFT通过佳士得拍卖行以6900万美元的天价卖出，这使他一跃成为全球第三富有的在世艺术家。

艺术家克里斯·托雷斯（Chris Torres）创作的著名GIF 表情图Nyan Cat的NFT版本也以60万美元的价格出售。

摇滚乐队林肯公园成员Mike Shinoda通过NFT出售了一段75秒的音乐（并配了一幅艺术动画），拍卖价为4个以太坊（约合6600美元）。

除了艺术家，不少公司和名人也来“蹭热度”。

首当其冲的就是最爱“赶时髦”的CEO埃隆?马斯克：上周他曾在推特上发布了一个MV，宣称将出售一首关于NFT的歌曲的NFT。不过稍晚他又放弃了这一计划。

而最新的热议事件还是推特公司CEO多西将自己在2006年发布的首条推特作为NFT进行拍卖，最终以1630.58以太币的价格（约合291万美元）出售给了“Bridge Oracle”公司的首席执行官埃斯塔维（Sina Estavi）。

NBA可以说是最大的拥抱NFT的公司，去年NBA与CryptoKitties的创造者Dapper Labs合作，通过NBA Top Shot的发布了NBA主题数字收藏卡NFT。在发售后24小时里，超过3.4万人在购买了这些收藏卡，交易额超过4670万美元。其中一张印有勒布朗?詹姆斯的卡片以20.8万美元售出。

此外，本周一，《时代》杂志主席Keith Grossman还宣布，将推出经典杂志封面的NFT进行拍卖，分别是1966年经典的《上帝死了么？》、2017年特朗普上任后的《真相死了么?》和为了本次拍卖新设计的《法币死了么？》。

对于艺术家来说，使用NFT来出售途径是一个很好的选择：NFT为其出售数字艺术作品提供了渠道，同时，由于区块链的可追踪性特点，已出售的艺术品仍可以被追踪，因此艺术家可以启用NFT的特有功能，在艺术品被二度转手时从中提取一定比例的费用。

举例来说，假如一个艺术家以1个以太币的价格出售了一幅作品的NFT，而卖家将其以10个以太币的价格转手，那创作这幅画的艺术家仍可以以10%的比例抽取费用――即再获得1个以太币。这在传统的艺术品出售方式中是无法实现的。

但对于普通购买者来说，要购买NFT的原因可能就难以理解了。

和传统的艺术品出售形式不同，通过NFT形式出售的数字艺术作品，本身是无限可复制的，而购买者指示购买了其所有权而已。

举例来说，当买家通过拍卖行购买到莫奈的一幅画作时，如果买家把这幅画收藏到地下室里的话，别人可能就无缘再看见这幅画了。而通过NFT形式购买的数字作品，买家只拥有所有权，而其他人依旧可以在网络上随时浏览、复制或下载这幅作品。

这又牵扯出关键问题：既然我们随时都能浏览下载，为什么还要通过NFT来买它呢？

如果还是以前文举例的QQ靓号来作为类比，可能更容易理解。对于购买者来说，购买NFT的原因和过去高价购买QQ靓号很大程度上非常类似：买家可以将其用于收藏或是拿来炫耀，再或者可以用于投机――将其以更高的价格卖给下一个买家。

这听起来有些疯狂，但本质上NFT创造了稀缺性，实现了收藏价值――这和人们高价购买莫奈真品或是高价炒鞋没有太大区别。

正因为此，NFT目前受到的褒贬不一。一些人认为它是艺术收藏领域的未来，另一些人则认为其中全是投机和泡沫。但无论如何，NFT主要还是有钱人的游戏，对于普通人来说，通过NFT想要获得投机收益可能风险极大。

NFT的热潮显然是最近刚刚兴起的。根据NFT数据平台NonFungible的统计，仅仅过去一个月，NFT市场的总成交金额就达到了惊人的2.41亿美元。而从2018年NFT诞生至2020年底，这三年内的NFT市场总成交额才为3.38亿美元。

加密分析公司梅萨里（Messari）研究分析师梅森·尼斯特罗姆（Mason Nystrom）认为，2021年NFT市场的总成交额可能会超过13亿美元。

我们当然可以认为，泡沫早晚会破灭，但在泡沫破灭之前，NFT必然还将经历高潮――这在饱受质疑的比特币和炒鞋领域都已经应验。

这个泡沫能够持续多久，取决于市场流动性。因为部分买家购买NFT的主要驱动力就是投机，一旦流动性枯竭，这场“击鼓传花”游戏的鼓声也会随之停止。

风投公司1confirmation认为，NFT的未来可能无法像比特币等加密货币一样光明。因为这些数百万甚至上千万的高价数字艺术品可能很难二次转手，这意味着很多NFT的首次出售可能很风光，但在二级市场可能难以为继。

但NFT艺术平台CEO克雷恩（John Crain）却表示，尽管部分NFT交易是基于炒作，但艺术收藏本身就是不可预测的，而NFT可能代表着数字艺术收藏的未来：“艺术收藏本身就是不理性的，也无法用逻辑来解释。”

还有一种猜测，可以把NFT打包成基金。那样的话，本来基于艺术收藏的NFT就可以成为一种金融投资品，从而产生衍生收益。

有媒体报道称，Beeple拍卖画的买主，是圈内某知名 NFT 基金的创始人，此前他曾购买 Beeple的20幅数字艺术品打包成一个 NFT 基金，并发行相应的 Token。

在此次拍卖期间，随着这幅画创出超6900万美元的高价后，该 Token 涨幅达 150% 以上。以该团队所持 Token 份额计，拍卖期间预计盈利 7000 多万美元，可谓名利双收。

内容来源：财联社，转载自涨乐财富通APP

免责声明：部分资讯信息、数据资料来源于第三方，平台无法核实信息的真实性、准确性、完整性及原创性等。涨乐财富通公众号转载供投资者参考，不代表任何观点，不构成任何投资建议，您自行承担因信赖或使用第三方信息而导致的任何损失。市场有风险，投资需谨慎！

点击「 阅读原文」