6月28日晚間20時左右，新浪出現(xiàn)了一次比較大的XSS（跨站腳本）漏洞攻擊，"中毒"的微博用戶會自動向自己的粉絲發(fā)送諸如"建黨大業(yè)中穿幫的地方"、"個稅起征點有望提到4000"、"郭美美事件的一些未注意到的細節(jié)"、"3D肉團團高清普通話版種子"等含毒的微博與私信，并自動關注一位名為hellosamy，粉絲點擊后會再次中毒，然后形成惡性循環(huán)。新浪微博蠕蟲爆發(fā)僅執(zhí)續(xù)了16分鐘，受影響用戶就達到將近33000個。本次攻擊僅做了發(fā)微博、加關注和發(fā)私信等操作，暫時沒有其它惡意行為。

眼前的新浪微博蠕蟲事件不禁讓我們又想到2009年的Twitter的蠕蟲事件（來源：http://www.pcworld.com/article/163054/twitter_worm_a_closer_look_at_what_happened.html），二者有很多共同之處，向好友或粉絲發(fā)信息（"中毒"鏈接）、增加關注度、點擊傳播，雖然沒有盜取用戶的任何賬戶信息，但卻都給用戶造成了很大的麻煩。此次，web蠕蟲同樣利用了新浪微博中某個頁面存在的XSS跨站漏洞，導致用戶瀏覽時執(zhí)行了第三方網(wǎng)站中的惡意腳本，隨后蠕蟲繼續(xù)通過這些用戶進行傳播。它利用SNS用戶間的人際關系、帶有誘惑性字樣的博文，引起別人關注并點擊，從而得到大范圍的傳播，這是SNS類蠕蟲中較為普遍的形式。

本次新浪web蠕蟲事件是一個非存儲型XSS利用，即攻擊串是保存在web服務端，但是感染受害的是點擊訪問的用戶。從安全的角度，新浪的web服務器端首先是盡快檢測發(fā)現(xiàn)并清除相應的攻擊串，再次是修補其web應用程序的XSS漏洞，這是臨時的應急措施，最好今后web運營中部署目前專業(yè)的web應用防火墻設備進行保護。而作為上網(wǎng)沖浪的用戶，應該在客戶端或者網(wǎng)關處部署專業(yè)的防病毒產(chǎn)品，實時檢測過濾訪問請求的內(nèi)容，以過濾掉惡意的站點或連接。

隨著互聯(lián)網(wǎng)的普及，我們的工作、生活與互聯(lián)網(wǎng)密不可分，Web應用安全的地位也日益重要。此次，新浪web蠕蟲事件，雖然僅限于濫發(fā)含毒私信和連接，但是并不是所有的web蠕蟲都如此"善良"，利用web蠕蟲竊取微博帳戶、竊取用戶信息的事件早就發(fā)生過，例如2005年，SamyKamkar利用MySpace的漏洞注冊了會員，并公開所有賬戶資料，然后復制JavaScript片段到查看過他資料的用戶賬號上，繼續(xù)傳遞，于是在24小時內(nèi)，他的好友達到100萬以上。這些事件無論是給web經(jīng)營者還是web訪問者都帶來了警示，如何保護web服務運營的安全性？如何保護自身上網(wǎng)的安全性？

安信華公司多年來致力于web服務運營安全和用戶端的上網(wǎng)安全，不僅具有專業(yè)的web應用防火墻S系列網(wǎng)關設備保護用戶web服務的安全運營，還具有專業(yè)的上網(wǎng)安全設備，實時保護上網(wǎng)終端的安全性。此次，新浪蠕蟲事件，安信華的網(wǎng)絡安全試驗室迅速響應，不僅加強關注其客戶web服務器的流量安全，還迅速升級了其上網(wǎng)安全網(wǎng)關的惡意站點庫，保護其用戶上網(wǎng)時免受新浪web蠕蟲的危害。在此，安信華互聯(lián)網(wǎng)安全實驗室的專家提醒客戶遇到此種事情不要驚慌，可以上報專業(yè)的互聯(lián)網(wǎng)安全機構，也可以征詢專業(yè)人員的服務幫助，以快速進行應急處理。