图1 新浪微博突然爆发的奇怪消息

    6月28日晚8点，新浪微博突然遭遇蠕虫式的“病毒”攻击，众多加V认证的名人微博发布带攻击链接的私信或微博，“微博蠕虫来了”的消息在微博网友中不径而走。为避免再有用户中招，金山毒霸已将相应链接标识为黑链予以拦截。

    “这次针对新浪微博的攻击事件在短时间内突然爆发，是源于新浪微博的某些页面存在XSS跨站攻击漏洞。”金山网络安全专家指出，攻击者在每一个杜撰的消息后面跟一个微博短网址，该网址又通过网易的短址指向一个含跨站脚本攻击的链接。当受害者读取私信，鼠标指向那个短址链接时，攻击脚本就会执行。
 

图2 闯祸的短网址暗藏玄机

    点击这条攻击链接后，微博网友会立刻执行一段有害代码，造成三个结果：发布一条微博；成为攻击发起人的粉丝；向其他好友发送含同样链接地址的私信。新浪微博很快发现这个漏洞，删除了含攻击链接的微博内容，并将攻击发起人ID删除。

    针对社交网站的XSS漏洞曾经多次发生，国外的Facebook、Twitter，国内的人人网、开心网都曾遭遇类似攻击。金山安全专家指出，XSS漏洞简单理解，就是利用网站漏洞在本站执行第三方网站的程序代码。攻击者利用XSS漏洞诱使被攻击者访问含特别用途的网页，可以是钓鱼网站，也可以是挂马网站。

    幸运的是，6月28日针对新浪微博的攻击行动中，并没有访问到带有明显恶意的钓鱼网站和挂马网站，也不会造成微博用户的帐号安全。“这次事件看起来更象一个安全警告，这样做的目的是促使被攻击方更加重视安全问题，及时修复安全漏洞。”金山安全专家这样解释。

    “这可能只是一个开始，这次事件提醒所有网站运营者重视安全漏洞，但无法保证下一个攻击者也同样怀有善意。”做为防范措施，金山安全专家建议一般网民谨慎点击短址链接，安装专业杀毒软件可以减轻无意中访问钓鱼网站或挂马网站的风险。