您現(xiàn)在的位置：融合網(wǎng)首頁(yè) > 文化 > 旅游 >

新浪微博病毒事件分析：XSS攻擊致大規(guī)模中招

來(lái)源：騰訊科技　作者：樂(lè)天　責(zé)任編輯：admin　發(fā)表時(shí)間:2011-06-29 09:16　

管理機(jī)構(gòu)動(dòng)漫游戲文物世遺網(wǎng)吧音像出版娛樂(lè)社團(tuán)傳媒機(jī)構(gòu)演藝藝術(shù)明星新媒體體產(chǎn)旅游模特其他

核心提示：6月28日消息，今日晚間新浪微博突然出現(xiàn)大范圍“中毒”，病毒利用新浪微博系統(tǒng)漏洞，向中毒者好友大量發(fā)送私信，并在內(nèi)容內(nèi)加上流行詞匯，進(jìn)行快速傳播。有專(zhuān)業(yè)人士分析稱(chēng)，是XSS攻擊導(dǎo)致新浪微博網(wǎng)友大規(guī)模中招。

新浪微博病毒事件分析(騰訊科技配圖)

6月28日消息，今日晚間新浪微博突然出現(xiàn)大范圍“中毒”，病毒利用新浪微博系統(tǒng)漏洞，向中毒者好友大量發(fā)送私信，并在內(nèi)容內(nèi)加上流行詞匯，進(jìn)行快速傳播。有專(zhuān)業(yè)人士分析稱(chēng)，是XSS攻擊導(dǎo)致新浪微博網(wǎng)友大規(guī)模中招。

據(jù)了解，今日晚間20時(shí)左右，大量用戶(hù)自動(dòng)發(fā)送“建黨大業(yè)中穿幫的地方”、“個(gè)稅起征點(diǎn)有望提到4000”、“郭美美事件的一些未注意到的細(xì)節(jié)”、“3D肉團(tuán)團(tuán)高清普通話(huà)版種子”等帶鏈接的微博與私信，并自動(dòng)關(guān)注一位名為hellosamy的用戶(hù)。

其中，包括冷笑話(huà)精選、東方早報(bào)、techweb等新浪官方賬號(hào)均發(fā)出莫名其妙的信息。新浪微博病毒事件導(dǎo)致新浪微博加關(guān)注、發(fā)微博、發(fā)私信等功能受到影響。

金山毒霸官方微博披露攻擊原理(騰訊科技配圖)

金山毒霸騰訊官方微博指出，攻擊者在每一個(gè)杜撰的消息后面跟一個(gè)微博短網(wǎng)址，通過(guò)網(wǎng)易的短址指向一個(gè)含跨站腳本攻擊的鏈接。當(dāng)受害者讀取私信，鼠標(biāo)指向那個(gè)短址鏈接時(shí)，攻擊腳本就會(huì)執(zhí)行。中招微博網(wǎng)友會(huì)立刻發(fā)布一條圍脖，成為攻擊發(fā)起人的粉絲，向其他好友發(fā)送含同樣鏈接地址的私信。

專(zhuān)業(yè)人士基本定位了這次攻擊的原因，微博廣場(chǎng)頁(yè)面weibo.com/pub/star 有XSS漏洞，被植入了惡意JS腳本。初步發(fā)現(xiàn)Chrome 和Safari 都沒(méi)中招。IE、Firefox未能幸免。

據(jù)悉，盡管到今日晚間9點(diǎn)新浪微博通過(guò)微博小秘書(shū)發(fā)布聲明，稱(chēng)攻擊者的帳號(hào)被關(guān)閉，仍有觀點(diǎn)指出，按照攻擊者粉絲數(shù)量看，可能導(dǎo)致3萬(wàn)多新浪微博網(wǎng)友中招。

(責(zé)任編輯：admin)

“掃一掃”關(guān)注融合網(wǎng)微信號(hào)

免責(zé)聲明：我方僅為合法的第三方企業(yè)注冊(cè)用戶(hù)所發(fā)布的內(nèi)容提供存儲(chǔ)空間，融合網(wǎng)不對(duì)其發(fā)布的內(nèi)容提供任何形式的保證：不保證內(nèi)容滿(mǎn)足您的要求，不保證融合網(wǎng)的服務(wù)不會(huì)中斷。因網(wǎng)絡(luò)狀況、通訊線路、第三方網(wǎng)站或管理部門(mén)的要求等任何原因而導(dǎo)致您不能正常使用融合網(wǎng)，融合網(wǎng)不承擔(dān)任何法律責(zé)任。

第三方企業(yè)注冊(cè)用戶(hù)在融合網(wǎng)發(fā)布的內(nèi)容（包含但不限于融合網(wǎng)目前各產(chǎn)品功能里的內(nèi)容）僅表明其第三方企業(yè)注冊(cè)用戶(hù)的立場(chǎng)和觀點(diǎn)，并不代表融合網(wǎng)的立場(chǎng)或觀點(diǎn)。相關(guān)各方及作者發(fā)布此信息的目的在于傳播、分享更多信息，并不代表本網(wǎng)站的觀點(diǎn)和立場(chǎng)，更與本站立場(chǎng)無(wú)關(guān)。相關(guān)各方及作者在我方平臺(tái)上發(fā)表、發(fā)布的所有資料、言論等僅代表其作者個(gè)人觀點(diǎn)，與本網(wǎng)站立場(chǎng)無(wú)關(guān)，不對(duì)您構(gòu)成任何投資、交易等方面的建議。用戶(hù)應(yīng)基于自己的獨(dú)立判斷，自行決定并承擔(dān)相應(yīng)風(fēng)險(xiǎn)。

根據(jù)相關(guān)協(xié)議內(nèi)容，第三方企業(yè)注冊(cè)用戶(hù)已知悉自身作為內(nèi)容的發(fā)布者，需自行對(duì)所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）負(fù)責(zé)，因所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）等所引發(fā)的一切糾紛均由該內(nèi)容的發(fā)布者（即，第三方企業(yè)注冊(cè)用戶(hù)）承擔(dān)全部法律及連帶責(zé)任。融合網(wǎng)不承擔(dān)任何法律及連帶責(zé)任。

第三方企業(yè)注冊(cè)用戶(hù)在融合網(wǎng)相關(guān)欄目上所發(fā)布的涉嫌侵犯他人知識(shí)產(chǎn)權(quán)或其他合法權(quán)益的內(nèi)容（如，字體、圖片、文章內(nèi)容等），經(jīng)相關(guān)版權(quán)方、權(quán)利方等提供初步證據(jù)，融合網(wǎng)有權(quán)先行予以刪除，并保留移交司法機(jī)關(guān)查處的權(quán)利。參照相應(yīng)司法機(jī)關(guān)的查處結(jié)果，融合網(wǎng)對(duì)于第三方企業(yè)用戶(hù)所發(fā)布內(nèi)容的處置具有最終決定權(quán)。

個(gè)人或單位如認(rèn)為第三方企業(yè)注冊(cè)用戶(hù)在融合網(wǎng)上發(fā)布的內(nèi)容（如，字體、圖片、文章內(nèi)容等）存在侵犯自身合法權(quán)益的，應(yīng)準(zhǔn)備好具有法律效應(yīng)的證明材料，及時(shí)與融合網(wǎng)取得聯(lián)系，以便融合網(wǎng)及時(shí)協(xié)調(diào)第三方企業(yè)注冊(cè)用戶(hù)并迅速做出相應(yīng)處理工作。

融合網(wǎng)聯(lián)系方式：（一）、電話(huà)：（010）57722280；（二）、電子郵箱：2029555353@qq.com dwrh@dwrh.net

對(duì)免責(zé)聲明的解釋、修改及更新權(quán)均屬于融合網(wǎng)所有。