新浪微博蠕虫爆发仅执续了16分钟，受影响用户就达到将近33000个。本次攻击仅做了发微博、加关注和发私信等操作，暂时没有其它恶意行为。

    眼前的新浪微博web蠕虫中毒事件不禁让我们又想到了2009年发生的Twitter的蠕虫事件（来源：http://www.pcworld.com/article/163054/twitter_worm_a_closer_look_at_what_happened.html），二者有很多共同之处，向好友或粉丝发信息（“中毒”链接）、增加关注度、点击传播，虽然没有盗取用户的任何账户信息，但却都给用户造成了很大的麻烦。此次，web蠕虫同样利用了新浪微博中某个页面存在的XSS跨站漏洞，导致用户浏览时执行了第三方网站中的恶意脚本，随后蠕虫继续通过这些用户进行传播。它利用SNS用户间的人际关系、带有诱惑性字样的博文，引起别人关注并点击，从而得到大范围的传播，这是SNS类蠕虫中较为普遍的形式。

    本次新浪web蠕虫事件是一个非存储型XSS利用，即攻击串是保存在web服务端，但是感染受害的是点击访问的用户。从安全的角度，新浪的web服务器端首先是尽快检测发现并清除相应的攻击串，再次是修补其web应用程序的XSS漏洞，这是临时的应急措施，最好今后web运营中部署目前专业的web应用防火墙设备进行保护。而作为上网冲浪的用户，应该在客户端或者网关处部署专业的防病毒产品，实时检测过滤访问请求的内容，以过滤掉恶意的站点或连接。

    随着互联网的普及，我们的工作、生活与互联网密不可分，Web应用安全的地位也日益重要。此次，新浪web蠕虫事件，虽然仅限于滥发含毒私信和连接，但是并不是所有的web蠕虫都如此“善良”，利用web蠕虫窃取微博帐户、窃取用户信息的事件早就发生过，例如2005年，SamyKamkar利用MySpace的漏洞注册了会员，并公开所有账户资料，然后复制JavaScript片段到查看过他资料的用户账号上，继续传递，于是在24小时内，他的好友达到100万以上。这些事件无论是给web经营者还是web访问者都带来了警示，如何保护web服务运营的安全性？如何保护自身上网的安全性？

    安信华公司多年来致力于web服务运营安全和用户端的上网安全，不仅具有专业的web应用防火墙S系列网关设备保护用户web服务的安全运营，还具有专业的上网安全设备，实时保护上网终端的安全性。此次，新浪蠕虫事件，安信华的网络安全试验室迅速响应，不仅加强关注其客户web服务器的流量安全，还迅速升级了其上网安全网关的恶意站点库，保护其用户上网时免受新浪web蠕虫的危害。在此，安信华互联网安全实验室的专家提醒客户遇到此种事情不要惊慌，可以上报专业的互联网安全机构，也可以征询专业人员的服务帮助，以快速进行应急处理。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。