Google社交网站遭概念性跨站脚本攻击

　　近日，Google的Orkut社交网站遭到XSS跨站脚本攻击，这次攻击造成数十万用户被感染，攻击者称刺激攻击只是概念性攻击，并无意盗取用户数据，可见跨站攻击的威胁正在不断扩大……

　　【IT专家网独家】一种快速传播的跨站脚本蠕虫一个晚上就传遍了Google的Orkut社交网络网站，疯狂感染查看携带蠕虫的电子邮件或者Orkut信息的用户。受害者甚至不用点击任何链接就受到了感染。

　　这个蠕虫使用基于Flash的JavaScript恶意软件并且利用Orkut网站的一个XSS(跨站脚本攻击)安全漏洞进行传播的。这个蠕虫把受害者添加到Orkut网站一个名为“Infectados pelo Virus do Orkut”的虚假的社区。这个社区12月19日称，它已经捕获了几十万不情愿的成员。

　　Orkut网站用户简介上贴出的信息是造成蠕虫感染的主要原因。受害者有的是收到了Orkut网站的提醒，说他们的剪贴簿有了新的内容，有的是收到Orkut网站已经被感染的朋友的电子邮件。在攻击期间，这种蠕虫以每分钟100人的速度向这个虚假的社区添加成员。

　　Orkut网站的一个安全社区称，Orkut网站12月19日早些时候修复了XSS安全漏洞。但是，Orkut网站的一个沙箱人物简介部分仍存在漏洞。谷歌的Orkut沙箱是一种封闭的“容器”，供开发人员等Orkut成员测试应用程序。

　　实施这次蠕虫攻击的黑客似乎要证明一个观点：显示使用JavaScript和XSS能够如何迅速地感染许多用户。这个攻击者用西班牙语在那个虚假的社区发表一个帖子称，这个攻击仅仅是显示orkut网站存在十分严重的安全隐患。你到这里来不用点击任何恶意的链接，只阅读剪贴簿就被感染了。攻击者称，这次攻击没有窃取任何数据。

　　安全专家称，这次蠕虫攻击没有涉及到任何恶意活动，主要是给被感染者及其随后被他们的感染的朋友带来了一些不便。一位受到蠕虫感染的研究人员称，这只是一次概念证明性质的攻击。如果是真正的攻击，它会搜集到数十万Google账户。这次攻击没有做任何恶意的事情。它只是要证明一个观点。这次攻击作的事情就是把你添加到Orkut网站的一个组。

        IT专家网原创文章，未经许可，严禁转载！