新浪微博病毒事件分析：XSS攻击致大规模中招

新浪微博病毒事件分析（腾讯科技配图）

腾讯科技讯（乐天）6月28日消息，今日晚间新浪微博突然出现大范围“中毒”，病毒利用新浪微博系统漏洞，向中毒者好友大量发送私信，并在内容内加上流行词汇，进行快速传播。有专业人士分析称，是XSS攻击导致新浪微博网友大规模中招。

据了解，今日晚间20时左右，大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信，并自动关注一位名为hellosamy的用户。

其中，包括冷笑话精选、东方早报、techweb等新浪官方账号均发出莫名其妙的信息。新浪微博病毒事件导致新浪微博加关注、发微博、发私信等功能受到影响。

金山毒霸官方微博披露攻击原理（腾讯科技配图）

金山毒霸腾讯官方微博指出，攻击者在每一个杜撰的消息后面跟一个微博短网址，通过网易的短址指向一个含跨站脚本攻击的链接。当受害者读取私信，鼠标指向那个短址链接时，攻击脚本就会执行。中招微博网友会立刻发布一条围脖，成为攻击发起人的粉丝，向其他好友发送含同样链接地址的私信。

专业人士基本定位了这次攻击的原因，微博广场页面weibo.com/pub/star 有XSS漏洞，被植入了恶意JS脚本。初步发现Chrome 和Safari 都没中招。IE、Firefox未能幸免。

据悉，尽管到今日晚间9点新浪微博通过微博小秘书发布声明，称攻击者的帐号被关闭，仍有观点指出，按照攻击者粉丝数量看，可能导致3万多新浪微博网友中招。