6月28日晚間20時左右，新浪出現了一次比較大的XSS（跨站腳本）漏洞攻擊，"中毒"的微博用戶會自動向自己的粉絲發送諸如"建黨大業中穿幫的地方"、"個稅起征點有望提到4000"、"郭美美事件的一些未注意到的細節"、"3D肉團團高清普通話版種子"等含毒的微博與私信，并自動關注一位名為hellosamy，粉絲點擊后會再次中毒，然后形成惡性循環。新浪微博蠕蟲爆發僅執續了16分鐘，受影響用戶就達到將近33000個。本次攻擊僅做了發微博、加關注和發私信等操作，暫時沒有其它惡意行為。

眼前的新浪微博蠕蟲事件不禁讓我們又想到2009年的Twitter的蠕蟲事件（來源：http://www.pcworld.com/article/163054/twitter_worm_a_closer_look_at_what_happened.html），二者有很多共同之處，向好友或粉絲發信息（"中毒"鏈接）、增加關注度、點擊傳播，雖然沒有盜取用戶的任何賬戶信息，但卻都給用戶造成了很大的麻煩。此次，web蠕蟲同樣利用了新浪微博中某個頁面存在的XSS跨站漏洞，導致用戶瀏覽時執行了第三方網站中的惡意腳本，隨后蠕蟲繼續通過這些用戶進行傳播。它利用SNS用戶間的人際關系、帶有誘惑性字樣的博文，引起別人關注并點擊，從而得到大范圍的傳播，這是SNS類蠕蟲中較為普遍的形式。

本次新浪web蠕蟲事件是一個非存儲型XSS利用，即攻擊串是保存在web服務端，但是感染受害的是點擊訪問的用戶。從安全的角度，新浪的web服務器端首先是盡快檢測發現并清除相應的攻擊串，再次是修補其web應用程序的XSS漏洞，這是臨時的應急措施，最好今后web運營中部署目前專業的web應用防火墻設備進行保護。而作為上網沖浪的用戶，應該在客戶端或者網關處部署專業的防病毒產品，實時檢測過濾訪問請求的內容，以過濾掉惡意的站點或連接。

隨著互聯網的普及，我們的工作、生活與互聯網密不可分，Web應用安全的地位也日益重要。此次，新浪web蠕蟲事件，雖然僅限于濫發含毒私信和連接，但是并不是所有的web蠕蟲都如此"善良"，利用web蠕蟲竊取微博帳戶、竊取用戶信息的事件早就發生過，例如2005年，SamyKamkar利用MySpace的漏洞注冊了會員，并公開所有賬戶資料，然后復制JavaScript片段到查看過他資料的用戶賬號上，繼續傳遞，于是在24小時內，他的好友達到100萬以上。這些事件無論是給web經營者還是web訪問者都帶來了警示，如何保護web服務運營的安全性？如何保護自身上網的安全性？

安信華公司多年來致力于web服務運營安全和用戶端的上網安全，不僅具有專業的web應用防火墻S系列網關設備保護用戶web服務的安全運營，還具有專業的上網安全設備，實時保護上網終端的安全性。此次，新浪蠕蟲事件，安信華的網絡安全試驗室迅速響應，不僅加強關注其客戶web服務器的流量安全，還迅速升級了其上網安全網關的惡意站點庫，保護其用戶上網時免受新浪web蠕蟲的危害。在此，安信華互聯網安全實驗室的專家提醒客戶遇到此種事情不要驚慌，可以上報專業的互聯網安全機構，也可以征詢專業人員的服務幫助，以快速進行應急處理。