“金山微博卫士”好看不中用

作者：易康来源：健康网时间： 2011-07-05 09:25:00

最近发生的新浪微博病毒事件，使广大用户开始关注到微博的安全问题。包括360安全卫士、金山等安全软件厂商先后推出微博卫士安全产品。在高水平网友测试后却得出令人吃惊的结果：号称可以拦截几乎所有社交网络有可能出现的XSS漏洞攻击的金山微博卫士竟然只能拦截一种最简单的攻击方式SCRIPT标签攻击。据这位对病毒颇有研究的高手，在专业安全卡

　　最近发生的新浪微博病毒事件，使广大用户开始关注到微博的安全问题。包括360安全卫士、金山等安全软件厂商先后推出微博卫士安全产品。在高水平网友测试后却得出令人吃惊的结果：号称可以拦截几乎所有社交网络有可能出现的XSS漏洞攻击的“金山微博卫士”竟然只能拦截一种最简单的攻击方式——SCRIPT标签攻击。

　　据这位对病毒颇有研究的高手，在专业安全卡饭论坛上透露，他在使用逆向工程检测技术对“金山微博卫士”测试时发现，该产品的拦截仅仅能对日前的新浪微博病毒的那一种攻击方式起效(即“金山微博卫士”发布时用于测试的那个链接，而这个漏洞，新浪在病毒事件的当天就已紧急修复)。

　　这位网友透露，如果新浪微博病毒的利用者稍微变换攻击方式，或者以后再出现微博等社交网站上的XSS漏洞攻击，金山微博卫士都是完全无效的。同时，这位网友就非常流行的利用JAVASCRIPT伪协议进行的XSS漏洞攻击进行了测试，并给出截图(图1)。

　　图1 在利用JAVASCRIPT伪协议进行的XSS漏洞攻击面前，“金山微博卫士”毫无反应

　　据一位安全软件专家分析：“金山微博卫士”仅仅拦截了HTML标签中的SCRIPT标签形式的攻击，而这只是一种最简单的攻击方式，只要网站存在XSS漏洞，利用各种HTML标签和字符串编码稍微组合一下，就可以绕过“金山微博卫士”的拦截。对于一些非常流行的利用XSS漏洞攻击方式，例如VBSCRIPT伪协议、SCRIPT事件等等，“金山微博卫士”也完全不具备防护能力，只要微博网站受到XSS漏洞攻击并使用这些攻击方式，使用“金山微博卫士”的用户就会中招。

　　在对早于金山推出的“360微博卫士”进行测试时发现，该产品能够堵截各种借助XSS漏洞而进行的微博攻击，包括各种变种XSS漏洞攻击。

点击选择表情标示你此时的心情