新浪微博遭遇到XSS蠕虫攻击侵袭，在不到一个小时的时间，超过3万微博用户受到该XSS蠕虫的攻击。虽然此次XSS蠕虫攻击事件中，恶意黑客攻击者并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本，但是这至少说明，病毒木马等黑色产业已经将眼光投放到这个尚存漏洞的领域;网站的名誉问题不容忽视。

　　隐私信息唾手可得

　　新浪微博前不久遭遇到XSS蠕虫攻击侵袭，在不到一个小时的时间，超过3万微博用户受到该XSS蠕虫的攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之前，国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件，只不过没有形成如此大规模传播。

　　如何能够更好地保护用户隐私信息?瑞星安全人员深入了解发现两大主要安全问题：用户隐私保护不力和XSS蠕虫病毒攻击。用户隐私问题一直是互联网上一个比较敏感的话题，随着SNS网站的出现及快速发展，用户隐私问题也变得异常严重。从目前我国SNS网站的服务人群来看，主要的用户为学生、白领及其他一些特定的人群，且此类网站大多数为强制实名制，因此使得此类用户的隐私信息对外都是可见的，那么如果黑客结合搜索引擎进行“人肉搜索”的话，那么获取到的将会是更多可被黑客恶意利用的敏感信息，利用用户的个人信息或其他隐私信息，黑客便可以进行钓鱼攻击或者欺诈等。

　　虽然某些SNS网站对用户信息相关数据有完备的隐私控制策略，但是这种策略并非不能够被黑客加以利用。那就是该用户的好友信息， 尽管黑客无法直接通过目标任务的账号信息获取到数据内容，但是通过SNS网站的交互性，黑客可以通过其好友账号进行间接渗透攻击。当黑客获取到其好友账号信息以后，不但可以正常浏览目标用户的个人主页和个人隐私信息，还可以通过好友用户通过发私信或邮件的方式进行钓鱼攻击。

　　SNS网络的XSS蠕虫

　　相对于用户隐私泄露，SNS网络的XSS蠕虫的危害更大。目前，Ajax语言在大型交互网站上广泛应用，然而在Ajax快速流行的同时，也带来了不安全的隐患。黑客可以使用Ajax语言编写蠕虫病毒，实现病毒的几何数级传播，其感染速度和攻击效果非常可怕。

　　XSS通常可以分为两大类：一类是存储型XSS，主要出现在让用户输入数据，供其他浏览此页的用户进行查看的地方。应用程序从数据库中查询数据，在页面中显示出来，攻击者在相关页面输入恶意的脚本数据后，用户浏览此类页面时就可能受到攻击。另一类是反射型XSS，主要是将脚本加入URL地址的程序参数里，参数进入程序后在页面直接输出脚本内容，用户点击类似的恶意链接就可能受到攻击。由此可见，如果Web应用程序对用户输入的数据信息没有做严格过滤的话，就会导致被写入的恶意代码被解析并执行，结合Ajax的异步提交功能，自然也就实现了在植入恶意代码的同时，又可以将恶意代码进行对外发送的功能，即实现了代码的感染，同时也实现了代码的传播，也就形成了XSS蠕虫。

　　最近几年，XSS蠕虫在大型SNS网络上爆发也很常见，自2005年MySpace Samy XSS蠕虫爆发以后，2009年，著名的社交网络Twitter在这一年的时间里连续6次爆发多规模传播的XSS蠕虫攻击病毒。在最近几年，国内大型SNS网站及其他一些博客网站也有XSS蠕虫爆发的记录，如搜狐博客网站的XSS蠕虫攻击事件、百度空间的XSS蠕虫攻击事件及最近刚刚爆发的新浪微博XSS蠕虫大规模攻击事件等。

　　新浪微博遭受XSS攻击

　　通过以上对SNS网站面临的主要问题的了解可以发现，一旦SNS网站存在安全漏洞，那么恶意黑客攻击者通过安全漏洞可以做的事情是相当丰富的，诸如窃取账号密码信息、传播恶意代码、盗取用户隐私等，那么新浪微博遭受XSS攻击的事件又是如何发生的呢?

　　首先，黑客通过对新浪微博的分析测试发现新浪名人堂部分由于代码过滤不严，导致XSS漏洞的存在，并可以通过构造脚本的方式植入恶意代码。 然后，黑客为了使该XSS蠕虫代码可以大范围的感染传播，会通过发私信或发微博的方式诱惑用户去点击存在跨站代码的链接，尤其是针对V标认证的用户，因为此类用户拥有大量的关注者，所以如果此类用户中毒，必然可以实现蠕虫的大范围、快速的传播。 最后，当大量的加V认证账户和其他普通用户中毒后，这些用户就会通过发微博和发私信的方式将该XSS蠕虫向其他用户进行传播，进而导致了该XSS蠕虫的大范围、快速的传播与感染。

　　SNS网站的用户和流量是巨大的，同时也容易招致严重的安全问题和隐患。如何能够保护用户的隐私信息不被窃取，保护用户不受到恶意代码的攻击，这不仅仅是网站管理员必须关心的问题，同时也是我们广大SNS用户需要关注的问题，这些都需要管理员和用户共同去维护，保护SNS在网络环境中的这一片净土。

    （编辑：Jesse）