新浪微博遭遇跨站蠕虫袭击,短短时间内,造成了数以万计网民中毒,这是新浪微博首次大幅出现信息安全危机。第二天,安全厂商们齐发力,发布了关于新浪微博中毒事件的分析报告,这是自从各种行业大战、行业内耗以来,中国安全行业首次齐心针对网络安全,集体发布安全报告
新浪微博遭攻击 安全行业纷纷表态
一、新浪微博遭攻击 安全行业各方表态
本周 6月28日晚,新浪微博遭遇跨站蠕虫袭击,短短时间内,造成了数以万计网民中毒,这是新浪微博首次大幅出现信息安全危机。第二天,安全厂商们齐发力,发布了关于新浪微博中毒事件的分析报告,这是自从各种行业大战、行业内耗以来,中国安全行业首次齐心针对网络安全,集体发布安全报告:
1、瑞星关于新浪微博被攻击公告
6月28日晚,新浪微博遭遇到首次跨站攻击蠕虫(CSRF)侵袭,微博用户中招后会自动向自己的粉丝发送含毒私信和微博,有人点击后会再次中毒,形成恶性循环。据瑞星安全专家分析,这主要是因为新浪的广场页面有几个链接对输入参数过滤不严导致的反射性XSS。
微博用户中毒之后,会自动发送一条诱惑性的含毒微博,比如:“3D肉蒲团种子,http:#####”;加一个病毒作者设定的ID为关注对象;同时向自己所有的粉丝发送诱惑性私信,以此来进一步传播。
2、江民关于新浪微博被攻击的公告
就在昨天,新浪微博突然出现大范围“中毒”,大量用户自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博与私信,并自动关注一位名为“hellosamy”的用户,“hellosamy”头像是“黑客”两字的微博账户,声称为这次袭击负责,随后他的账户被删除。
3、金山关于新浪微博被攻击的公告
6月28日晚8点,新浪微博突然遭遇蠕虫式的“病毒”攻击,众多加V认证的名人微博发布带攻击链接的私信或微博,“微博蠕虫来了”的消息在微博网友中不径而走。为避免再有用户中招,金山毒霸已将相应链接标识为黑链予以拦截。
“这次针对新浪微博的攻击事件在短时间内突然爆发,是源于新浪微博的某些页面存在XSS跨站攻击漏洞。”金山网络安全专家指出,攻击者在每一个杜撰的消息后面跟一个微博短网址,该网址又通过网易的短址指向一个含跨站脚本攻击的链接。当受害者读取私信,鼠标指向那个短址链接时,攻击脚本就会执行。
4、360关于新浪微博被攻击的公告
近日新浪微博爆发中毒事件,引发众多网民对微博等社交网站安全的关注。360安全卫士紧急研发并于30日推出“微博卫士”,帮助用户预防微博病毒。 根据360安全中心技术分析,微博病毒是黑客利用网页“XSS漏洞”制作、并通过好友列表进行传播的。当微博用户登录后,如果点击了被病毒控制的好友发来的恶意链接,自己的账号也会中毒,出现诸如自动向自己的好友群发私信、自动发表微博,甚至自动删除微博内容等现象。如果网页“XSS漏洞”出现在人人网、开心网等社交网站上,这类病毒同样可能通过好友列表大面积传播。 此前,“XSS漏洞”曾多次危害Facebook、Twitter等社交网站,而传统杀毒软件事后查杀的方式无法保证微博用户安全。5、卡巴斯基关于新浪微博被攻击的公告
卡巴斯基实验室专家解析了此次攻击事件:主要原因是新浪微博代码编写存在跨站攻击漏洞,而该漏洞在被黑客发现后进行了利用。黑客精心构造了特殊的恶意链接,当有用户点击打开时,黑客就会立即获得该用户的会话信息,使用这一信息,即可在没有该用户密码的情况下对外发送同样的恶意链接。截止到目前,暂时没有发现这一攻击会对用户的账户或个人密码造成后续性的影响。点评:
经历了3Q大战,金山360大战、免费大战、各种大战之后,行业联合起来关注网络安全,实属不易,希望保持。
网友评论