新浪微博首遭病毒袭击 系XSS漏洞所致

　　在微博已经成为网民生活中一部分的今天，一些黑客不法分子将目标锁定在了这个日渐火爆的应用上。就在昨天，新浪微博突然出现大范围“中毒”，大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信，并自动关注一位名为“hellosamy”的用户，“hellosamy”头像是“黑客”两字的微博账户，声称为这次袭击负责，随后他的账户被删除。

　　据了解，大部分中毒用户为新浪微博加V用户，中毒用户自动发布病毒链接，同时会向粉丝发送带病毒链接的私信。中毒用户反映，粉丝一旦点击这些链接，就会感染微博病毒，用已登录的微博账号自动发布病毒微博和私信。

　　据悉，2005年，首个利用跨站点脚本缺陷的蠕虫samy被“创造”出来了，此次新浪微博事件的蠕虫也正是有向Samy致敬的意思。Samy利用网站设计方面的缺陷，创建了一份“恶意”的用户档案，当该用户档案被浏览时，就会自动地激活代码，将用户添加到Samy的“好友”列表中。另外，恶意代码还会被拷贝到用户的档案中，当其他人查看用户的档案时，蠕虫会继续传播。Samy蠕虫能够造成与拒绝服务相当的效应，会造成好友列表中好友数量呈指数级增长，最终会消耗系统的大量资源。本次中毒事件也正是黑客利用了存在的XSS漏洞所致,但该蠕虫不会盗取用户账号密码，提醒有疑似症状用户清空缓存。