2011年6月28日晚9时许，许多新浪微博用户在其微博页面上收到附有恶意链接的私信，且在短时间内呈迅速蔓延之势。根据国家信息安全漏洞共享平台（CNVD）监测情况，该事件是新浪微博网站页面存在的跨站漏洞被黑客利用、通过恶意代码发起钓鱼攻击引起。相关情况通报如下： 

一、技术情况分析 

CNVD监测到的传播恶意链接的私信见附件一所示。存在漏洞的是http://weibo.com/pub/star/页面，漏洞类型为反射型跨站漏洞。即攻击者在该页面地址后嵌入含有恶意代码的URL，诱使微博用户点击进行攻击。攻击者嵌入的恶意URL为：www.2kt.cn/images/t.js。点击后用户会感染恶意代码，之后通过微博在短时间内自动发布“建党大业中穿帮的地方”、“3D肉团团高清普通话版种子”等大量恶意链接内容，同时会向关注者、粉丝发送带恶意链接的私信。 

攻击者对发起本次攻击也进行了精心的准备，CNVD监测发现其注册的涉嫌传播恶意代码的域名主要是www.2kt.cn和hub.ad2you.com。www.2kt.cn用于构造跳转链接，而hub.ad2you.com用于构造私信发布的恶意链接。
 

截至6月29日16时，域名www.2kt.cn已经被其注册机构新网数码公司停止了解析，hub.ad2you.com为境外注册的域名，仍然存活，但已经无法捕获对应的页面脚本，也无法进行下一步跟踪。同时，CNVD向新浪公司确认了漏洞情况并验证其相关页面的跨站漏洞已经修复。 

二、事件影响分析 

反射型跨站漏洞是常见网站漏洞，CNVD对其级别评定通常为“中危”。但由于微博这一互联网社交网络的特殊性，该漏洞被用于发起的钓鱼攻击效果被迅速放大，进而造成了广泛的影响。近年来，国内各主要门户网站新浪、搜狐、网易、腾讯等均建立了微博网站，拥有了较大规模的用户群体，有可能成为重要的攻击目标。 

此次事件还体现了互联网黑色地下产业由破坏性转向趋利性的特点。攻击者传播的恶意链接并未直接入侵用户手机操作系统，而是利用微博为其提升网站点击流量进而牟利。根据中国反网络病毒联盟（ANVA）相关监测数据，近年来境内网页挂马事件数量呈下降趋势，而在网站上挂载广告黑链的网页篡改事件数量呈上升趋势。此外，一些贴吧、博客、论坛成为黑客发起钓鱼攻击、大量发布带有钓鱼网站链接的场所。

三、事件应对建议 

本次事件是黑客首次利用微博这一互联网新传媒方式发起的大规模攻击事件。针对微博以及互联网黑色地下产业的活跃情况，应对建议如下：

（一）各微博网站应以此为鉴，加强对注入、跨站、信息泄露等常见的、可利用的网站安全漏洞的自查。同时，请互联网用户及相关组织积极向CNVD报告发现的网站安全漏洞情况，CNVD将及时通报并协调处置。 

（二）加强与国内外域名注册机构、基础电信运营企业、网络安全组织的协作，坚决清除黑客传播非法内容、发起钓鱼攻击使用的恶意域名和主机IP。同时，请互联网用户向国家互联网应急中心、中国反网络病毒联盟等安全组织积极举报相关事件。 

（三）加强行业自律，提高用户安全意识。手机病毒以及针对手机用户发起的攻击事件日僧成为重要的安全威胁，相关从业者需加强自律，加强产品质量管理，避免出现严重安全漏洞。同时，移动互联网用户应提高安全意识，如：避免打开不明来源链接、注意个人信息不被泄露等。