新浪微博病毒事件分析（騰訊科技配圖）

騰訊科技訊（樂天）6月28日消息，今日晚間新浪微博突然出現(xiàn)大范圍“中毒”，病毒利用新浪微博系統(tǒng)漏洞，向中毒者好友大量發(fā)送私信，并在內(nèi)容內(nèi)加上流行詞匯，進(jìn)行快速傳播。有專業(yè)人士分析稱，是XSS攻擊導(dǎo)致新浪微博網(wǎng)友大規(guī)模中招。

據(jù)了解，今日晚間20時(shí)左右，大量用戶自動(dòng)發(fā)送“建黨大業(yè)中穿幫的地方”、“個(gè)稅起征點(diǎn)有望提到4000”、“郭美美事件的一些未注意到的細(xì)節(jié)”、“3D肉團(tuán)團(tuán)高清普通話版種子”等帶鏈接的微博與私信，并自動(dòng)關(guān)注一位名為hellosamy的用戶。

其中，包括冷笑話精選、東方早報(bào)、techweb等新浪官方賬號(hào)均發(fā)出莫名其妙的信息。新浪微博病毒事件導(dǎo)致新浪微博加關(guān)注、發(fā)微博、發(fā)私信等功能受到影響。

金山毒霸官方微博披露攻擊原理（騰訊科技配圖）

金山毒霸騰訊官方微博指出，攻擊者在每一個(gè)杜撰的消息后面跟一個(gè)微博短網(wǎng)址，通過網(wǎng)易的短址指向一個(gè)含跨站腳本攻擊的鏈接。當(dāng)受害者讀取私信，鼠標(biāo)指向那個(gè)短址鏈接時(shí)，攻擊腳本就會(huì)執(zhí)行。中招微博網(wǎng)友會(huì)立刻發(fā)布一條圍脖，成為攻擊發(fā)起人的粉絲，向其他好友發(fā)送含同樣鏈接地址的私信。

專業(yè)人士基本定位了這次攻擊的原因，微博廣場(chǎng)頁(yè)面weibo.com/pub/star 有XSS漏洞，被植入了惡意JS腳本。初步發(fā)現(xiàn)Chrome 和Safari 都沒中招。IE、Firefox未能幸免。

據(jù)悉，盡管到今日晚間9點(diǎn)新浪微博通過微博小秘書發(fā)布聲明，稱攻擊者的帳號(hào)被關(guān)閉，仍有觀點(diǎn)指出，按照攻擊者粉絲數(shù)量看，可能導(dǎo)致3萬(wàn)多新浪微博網(wǎng)友中招。