行业动态
客户服务
联系电话:4006-1111-58
022-23707273
真:022-87898899
QQ: 点击这里给我发消息
首页>行业动态 >

新浪微博病毒事件分析:XSS攻击致大规模中招

发布时间:2011-06-30 10:21:14        来源:

据了解,6月28日晚间20时左右,大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信,并自动关注一位名为hellosamy的用户。

其中,包括冷笑话精选、东方早报、techweb等新浪官方账号均发出莫名其妙的信息。新浪微博病毒事件导致新浪微博加关注、发微博、发私信等功能受到影响。

金山毒霸腾讯官方微博指出,攻击者在每一个杜撰的消息后面跟一个微博短网址,通过网易的短网址指向一个含跨站脚本攻击的链接。当受害者读取私信,鼠标指向那个短址链接时,攻击脚本就会执行。中招微博网友会立刻发布一条围脖,成为攻击发起人的粉丝,向其他好友发送含同样链接地址的私信。

专业人士基本定位了这次攻击的原因,微博广场页面weibo.com/pub/star 有XSS漏洞,被植入了恶意JS脚本。初步发现Chrome 和Safari 都没中招。IE、Firefox未能幸免。

据悉,尽管到今日晚间9点新浪微博通过微博小秘书发布声明,称攻击者的帐号被关闭,仍有观点指出,按照攻击者粉丝数量看,可能导致3万多新浪微博网友中招。