新浪微博遭遇到XSS蠕蟲(chóng)攻擊侵襲，在不到一個(gè)小時(shí)的時(shí)間，超過(guò)3萬(wàn)微博用戶受到該XSS蠕蟲(chóng)的攻擊。雖然此次XSS蠕蟲(chóng)攻擊事件中，惡意黑客攻擊者并沒(méi)有在惡意腳本中植入掛馬代碼或其他竊取用戶賬號(hào)密碼信息的腳本，但是這至少說(shuō)明，病毒木馬等黑色產(chǎn)業(yè)已經(jīng)將眼光投放到這個(gè)尚存漏洞的領(lǐng)域;網(wǎng)站的名譽(yù)問(wèn)題不容忽視。

　　隱私信息唾手可得

　　新浪微博前不久遭遇到XSS蠕蟲(chóng)攻擊侵襲，在不到一個(gè)小時(shí)的時(shí)間，超過(guò)3萬(wàn)微博用戶受到該XSS蠕蟲(chóng)的攻擊。此事件給嚴(yán)重依賴社交網(wǎng)絡(luò)的網(wǎng)友們敲響了警鐘。在此之前，國(guó)內(nèi)多家著名的SNS網(wǎng)站和大型博客網(wǎng)站都曾遭遇過(guò)類似的攻擊事件，只不過(guò)沒(méi)有形成如此大規(guī)模傳播。

　　如何能夠更好地保護(hù)用戶隱私信息?瑞星安全人員深入了解發(fā)現(xiàn)兩大主要安全問(wèn)題：用戶隱私保護(hù)不力和XSS蠕蟲(chóng)病毒攻擊。用戶隱私問(wèn)題一直是互聯(lián)網(wǎng)上一個(gè)比較敏感的話題，隨著SNS網(wǎng)站的出現(xiàn)及快速發(fā)展，用戶隱私問(wèn)題也變得異常嚴(yán)重。從目前我國(guó)SNS網(wǎng)站的服務(wù)人群來(lái)看，主要的用戶為學(xué)生、白領(lǐng)及其他一些特定的人群，且此類網(wǎng)站大多數(shù)為強(qiáng)制實(shí)名制，因此使得此類用戶的隱私信息對(duì)外都是可見(jiàn)的，那么如果黑客結(jié)合搜索引擎進(jìn)行“人肉搜索”的話，那么獲取到的將會(huì)是更多可被黑客惡意利用的敏感信息，利用用戶的個(gè)人信息或其他隱私信息，黑客便可以進(jìn)行釣魚(yú)攻擊或者欺詐等。

　　雖然某些SNS網(wǎng)站對(duì)用戶信息相關(guān)數(shù)據(jù)有完備的隱私控制策略，但是這種策略并非不能夠被黑客加以利用。那就是該用戶的好友信息， 盡管黑客無(wú)法直接通過(guò)目標(biāo)任務(wù)的賬號(hào)信息獲取到數(shù)據(jù)內(nèi)容，但是通過(guò)SNS網(wǎng)站的交互性，黑客可以通過(guò)其好友賬號(hào)進(jìn)行間接滲透攻擊。當(dāng)黑客獲取到其好友賬號(hào)信息以后，不但可以正常瀏覽目標(biāo)用戶的個(gè)人主頁(yè)和個(gè)人隱私信息，還可以通過(guò)好友用戶通過(guò)發(fā)私信或郵件的方式進(jìn)行釣魚(yú)攻擊。

　　SNS網(wǎng)絡(luò)的XSS蠕蟲(chóng)

　　相對(duì)于用戶隱私泄露，SNS網(wǎng)絡(luò)的XSS蠕蟲(chóng)的危害更大。目前，Ajax語(yǔ)言在大型交互網(wǎng)站上廣泛應(yīng)用，然而在Ajax快速流行的同時(shí)，也帶來(lái)了不安全的隱患。黑客可以使用Ajax語(yǔ)言編寫(xiě)蠕蟲(chóng)病毒，實(shí)現(xiàn)病毒的幾何數(shù)級(jí)傳播，其感染速度和攻擊效果非?？膳隆?/p>

　　XSS通?？梢苑譃閮纱箢悾阂活愂谴鎯?chǔ)型XSS，主要出現(xiàn)在讓用戶輸入數(shù)據(jù)，供其他瀏覽此頁(yè)的用戶進(jìn)行查看的地方。應(yīng)用程序從數(shù)據(jù)庫(kù)中查詢數(shù)據(jù)，在頁(yè)面中顯示出來(lái)，攻擊者在相關(guān)頁(yè)面輸入惡意的腳本數(shù)據(jù)后，用戶瀏覽此類頁(yè)面時(shí)就可能受到攻擊。另一類是反射型XSS，主要是將腳本加入U(xiǎn)RL地址的程序參數(shù)里，參數(shù)進(jìn)入程序后在頁(yè)面直接輸出腳本內(nèi)容，用戶點(diǎn)擊類似的惡意鏈接就可能受到攻擊。由此可見(jiàn)，如果Web應(yīng)用程序?qū)τ脩糨斎氲臄?shù)據(jù)信息沒(méi)有做嚴(yán)格過(guò)濾的話，就會(huì)導(dǎo)致被寫(xiě)入的惡意代碼被解析并執(zhí)行，結(jié)合Ajax的異步提交功能，自然也就實(shí)現(xiàn)了在植入惡意代碼的同時(shí)，又可以將惡意代碼進(jìn)行對(duì)外發(fā)送的功能，即實(shí)現(xiàn)了代碼的感染，同時(shí)也實(shí)現(xiàn)了代碼的傳播，也就形成了XSS蠕蟲(chóng)。

　　最近幾年，XSS蠕蟲(chóng)在大型SNS網(wǎng)絡(luò)上爆發(fā)也很常見(jiàn)，自2005年MySpace Samy XSS蠕蟲(chóng)爆發(fā)以后，2009年，著名的社交網(wǎng)絡(luò)Twitter在這一年的時(shí)間里連續(xù)6次爆發(fā)多規(guī)模傳播的XSS蠕蟲(chóng)攻擊病毒。在最近幾年，國(guó)內(nèi)大型SNS網(wǎng)站及其他一些博客網(wǎng)站也有XSS蠕蟲(chóng)爆發(fā)的記錄，如搜狐博客網(wǎng)站的XSS蠕蟲(chóng)攻擊事件、百度空間的XSS蠕蟲(chóng)攻擊事件及最近剛剛爆發(fā)的新浪微博XSS蠕蟲(chóng)大規(guī)模攻擊事件等。

　　新浪微博遭受XSS攻擊

　　通過(guò)以上對(duì)SNS網(wǎng)站面臨的主要問(wèn)題的了解可以發(fā)現(xiàn)，一旦SNS網(wǎng)站存在安全漏洞，那么惡意黑客攻擊者通過(guò)安全漏洞可以做的事情是相當(dāng)豐富的，諸如竊取賬號(hào)密碼信息、傳播惡意代碼、盜取用戶隱私等，那么新浪微博遭受XSS攻擊的事件又是如何發(fā)生的呢?

　　首先，黑客通過(guò)對(duì)新浪微博的分析測(cè)試發(fā)現(xiàn)新浪名人堂部分由于代碼過(guò)濾不嚴(yán)，導(dǎo)致XSS漏洞的存在，并可以通過(guò)構(gòu)造腳本的方式植入惡意代碼。 然后，黑客為了使該XSS蠕蟲(chóng)代碼可以大范圍的感染傳播，會(huì)通過(guò)發(fā)私信或發(fā)微博的方式誘惑用戶去點(diǎn)擊存在跨站代碼的鏈接，尤其是針對(duì)V標(biāo)認(rèn)證的用戶，因?yàn)榇祟愑脩魮碛写罅康年P(guān)注者，所以如果此類用戶中毒，必然可以實(shí)現(xiàn)蠕蟲(chóng)的大范圍、快速的傳播。 最后，當(dāng)大量的加V認(rèn)證賬戶和其他普通用戶中毒后，這些用戶就會(huì)通過(guò)發(fā)微博和發(fā)私信的方式將該XSS蠕蟲(chóng)向其他用戶進(jìn)行傳播，進(jìn)而導(dǎo)致了該XSS蠕蟲(chóng)的大范圍、快速的傳播與感染。

　　SNS網(wǎng)站的用戶和流量是巨大的，同時(shí)也容易招致嚴(yán)重的安全問(wèn)題和隱患。如何能夠保護(hù)用戶的隱私信息不被竊取，保護(hù)用戶不受到惡意代碼的攻擊，這不僅僅是網(wǎng)站管理員必須關(guān)心的問(wèn)題，同時(shí)也是我們廣大SNS用戶需要關(guān)注的問(wèn)題，這些都需要管理員和用戶共同去維護(hù)，保護(hù)SNS在網(wǎng)絡(luò)環(huán)境中的這一片凈土。

    （編輯：Jesse）