一个月之前，我向荷兰国家网络安全中心（NCSC）上报了两个有效安全漏洞，其中一个漏洞原因在于荷兰国家网络安全中心（NCSC）网页中声称的荷兰外交部门或相关人员的某些推特账户（Twitter）根本不存在，因此，攻击者可以在推特上抢注这些账号，形成推特账户劫持（Account Takeover），代表政府发表不当言论或进行其它恶意交流。另一个漏洞为反射型XSS漏洞。

漏洞1 – 推特账户劫持

某天，当我浏览荷兰国家网络安全中心网站（NCSC -https://www.ncsc.nl/）的某个子页面时，在其中发现存在一个链接网页，该网页中包含了大量荷兰政府网站的推特Twitter社交媒体账号，这些账号大多属于荷兰外交部门的大使馆机构或相关外交人员。

但是，我在推特Twitter访问时，却发现这些账号根本不存在，哦….，好低级的错误！于是乎，我就在推特Twitter上注册了其中的一个账户，并起了和NCSC网页中介绍的用户名，好了，那我现在就可以代表荷兰外交机构发声了！之后，我及时通过[email protected]向NCSC上报了这个问题。

5小时之后，NCSC及时给了我回复：

然后，今天，我收到了NCSC送的漏洞奖励纪念品 – 一件印有NCSC LOGO的T-Shirt：

荷兰政府和人民都非常关心网络安全，在此，我感谢荷兰政府在网络安全方面的努力，并相信他们会做得更好。今天，无形的战争发生于网络空间，一些国家都已有了认识并加强了安全防护措施，希望确实如此。

*参考来源：hackking，clouds编译整理，转载请注明来自 FreeBuf.COM