【搜狐IT消息】6月28日晚,针对新浪微博用户大范围“中毒”事件,业内技术人员称,这次攻击属于XSS攻击。
![]() |
新浪微博用户大范围中毒 |
攻击者使用短连t.cn接掩盖了真正的连接,在真正的连接中嵌入了一段javasvript代码,然后由这段代码发动了攻击。
技术人员表示,这是由于在生成短连接的时候未能严格script标签引起的。病毒作者在真正的链接中嵌入了script,而由于该链接使用的是新浪本地的url,所以script是在本域执行的,可以直接模拟用户的各种请求。
![]() |
XSS攻击导致大规模中招(查看大图) |
据悉,XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
6月28日晚间,新浪微博突然出现大范围“中毒”,多名用户账号疑似被黑,自动发送“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等带链接的微博。