微博上的安全问题

2024年4月13日发(作者：)

关于微博安全问题的分析

一、微博的特性

1. 微博很受欢迎，使用简单

2. 信息门槛降低，网络可以带来更多的新闻咨询、奇闻趣事，同时也使多元化的

网络平台更加平易近人

3. 微博是一个信息快速流动的平台

二、微博遭遇的攻击方式

1、跨站脚本攻击

攻击者在每一个杜撰的消息后面跟一个微博短网址，该网址又通过某网站的短

址指向一个含跨站脚本攻击的链接。当受害者读取私信，鼠标指向那个短址链接

时，攻击脚本就会执行。

这种攻击主要是针对是社交网站的XSS漏洞。

防范手法如下：

1. 防堵跨站漏洞，阻止攻击者利用在被攻击网站上发布跨站攻击语句不可以

信任用户提交的任何内容，首先代码里对用户输入的地方和变量都需要仔细检查长

度和对”<”,”>”,”;”,”’”等字符做过滤；其次任何内容写到页面之前都必

须加以encode，避免不小心把html tag弄出来。这一个层面做好，至少可以堵住

超过一半的XSS 攻击。

2. Cookie 防盗

首先避免直接在cookie 中泄露用户隐私，例如email、密码等等。其次通过

使cookie和系统ip绑定来降低cookie 泄露后的危险。这样攻击者得到的cookie

没有实际价值，不可能拿来重放。

3. 尽量采用POST 而非GET 提交表单

POST操作不可能绕javascript 的使用，这会给攻击者增加难度，减少可利用

的跨站漏洞。

4. 严格检查refer

检查http refer 是否来自预料中的url。这可以阻止第2 类攻击手法发起的

http请求，也能防止大部分第1 类攻击手法，除非正好在特权操作的引用页上种

了跨站访问。

5. 将单步流程改为多步，在多步流程中引入效验码

多步流程中每一步都产生一个验证码作为hidden 表单元素嵌在中间页面，下

一步操作时这个验证码被提交到服务器，服务器检查这个验证码是否匹配。首先这

为第1 类攻击者大大增加了麻烦。其次攻击者必须在多步流程中拿到上一步产生

的效验码才有可能发起下一步请求，这在第2 类攻击中是几乎无法做到的。

6. 引入用户交互

简单的一个看图识数可以堵住几乎所有的非预期特权操作。

7. 只在允许anonymous 访问的地方使用动态的javascript。

8. 对于用户提交信息的中的img 等link，检查是否有重定向回本站、不是真

的图 片等可疑操作。

9. 内部管理网站的问题

很多时候，内部管理网站往往疏于关注安全问题，只是简单的限制访问来

源。这种网站往往对XSS 攻击毫无抵抗力，需要多加注意。安全问题需要长期的

关注，从来不是一锤子买卖。XSS 攻击相对其他攻击手段更加隐蔽和多变，和业务

流程、代码实现都有关系，不存在什么一劳永逸的解决方案。此外，面对XSS，往

往要牺牲产品的便利性才能保证完全的安全，如何在安全和便利之间平衡也是一件

需要考虑的事情。

2、钓鱼网站

近期网上出现了大量假冒新浪微博的钓鱼网站，据安全专家提示，黑客利用网

民对微博的关注热度，以巨额奖金作为"诱饵",设立钓鱼骗局，用户一旦轻信，便

会上当。轻者导致微博账号、密码被盗，严重者将被骗钱财。

防范手法如下：

（1）网页输入框检查

用户浏览网页时BHO针对有无输入框的网页进行过滤，即通过嵌入在IE中的

BHO插件，获取到页面是否存在INPUT信息，然后只将那些有输入框的页面提取并

对其进行分析，而对那些没有任何输入框的网页，系统会把它们过滤掉。

（2）域名和标题匹配检查

针对提取到的那些输入框的页面，系统先进性第一步最为敏感的对比，通过

BHO来提供网页的域名domain和标题title，可以跟BHO中连接一个小型的XML数

据库中的作对比，判断其是否一致，这样，一旦发现不能匹配的，系统就会实时的

给客户一个警告。这个小型的数据库用以存放知名网站（容易被钓鱼者利用的网

站，如银行，淘宝）的域名domain和标题title,作为一个比较对象。

（3）黑白名单匹配检查

若在BHO中没有检索到用来对比的信息（域名domain和网址URL ）,将被送

至客户端主程序进行更深一步的查找处理，为此在数据库中预设了一个白名单和黑

名单，白名单保存着更多合法网站的网址URL，域名domain。在匹配的过程中，先

检索黑名单中被用户定义禁止访问的站点是否匹配，然后再检索白名单。该数据库

也可根据用户需要，自定义添加和删除数据项。

（4）域名备案查询

如果在客户端数据库的黑白名单中都检索不到域名可以匹配的话，则可以需要

经过下一轮处理，即通过将该网页所在的域名发送到服务器，服务器接收并将该域

名信息传送至域名备案中心进行查询，然后将查询结果（有无注册，有无备案号）

返回至本地主机，并判断该网页是否合法，并及时确认消息。

（5）图像特征识别

在客户端黑名单中也没有找到匹配的网址URL时，把该网址传送至服务器，对

该加载后的网页截图，计算其特征值，并与数据库中国的现存的知名网站的账号密

码输入时的网页图片特征值作对比，通过比较两张图片的相似度以及其域名是否一

致来判断该网页是否为钓鱼网站。

三、关于微博上的安全问题

目前找到的相关信息就是这些，我个人认为目前可以在微博做的安全相关的问

题就是舆情，防跨站脚本攻击，防钓鱼网站这三方面。

防钓鱼网站已经有人做过，09年信息安全大赛中有一个小组是做的这个题

目。

其实对于微博其主要的特点就是使用用户多，信息流通量大。如何保证用户信

息的安全和微博正常运行是微博上安全的重点。

对于之前牛老师提到的关于微博泄露信息造成儿子被绑架的这条新闻，其实其

也可以看做是网络钓鱼这一块。就是说攻击者被动的去搜集一些关于用户的敏感信

息而用于对此毫不知情，从而对用户的生命财产等造成了威胁。

微博泄露信息的方式有两种：1）实名注册及微博中的个人档中很多信息是真

实的；2）在发信息和照片的时候无意中泄露了一些敏感信息。

对于第一类的信息泄露还好处理，如加强系统的安全性，通过上面提到的一些

方式，一般情况下攻击者很难拿到实名注册的信息。对于个人档中的信息，这个一

般情况下只能靠用户了。

对于第二类信息的泄露。如果是用户发送的消息，可以采取一些过滤的手法来

进行处理，但效果可能不是很好。因为本身我们很难对所发信息中的内容真实性以

及与用户的联系确定。如果是发的照片的话，难度可能加大。首先，不可能对每张

照片进行审核。如果机器自动检测，那么首先如何从照片中读取信息就有一定难

度，这可能需要一个建模的过程。另外的对读取出来的信息和用户的关系更难确定

了。