饭否重开首日惊现XSS漏洞攻击

　　经历了505天关闭后，饭否终于重开了，这无疑是这几天网友们讨论的最多的话题了。

　　但有喜有忧，今日，就在饭否网重开的首日，笔者了解到，知道创宇旗下的Scanv网站安全体检中心(www.scanv.com)已率先截获了针对于饭否网的攻击方式。

　　据悉此次攻击是由饭否网站手机版的一个XSS漏洞引起的，由于饭否手机版对于用户个人资料一项未进行严格过滤，导致黑客可以在精心构造数据提交后进行漏洞的利用。据知道创宇挂马监控平台监控到的数据显示，目前已经存在利用漏洞进行的挂马行为。

　　

 

　　在这一安全事件被报道后，有网友戏称：经历了505天的杯具，饭否解禁了，XSS漏洞也跟着解禁了。

　　XSS漏洞又称跨站漏洞，是目前最为流行的黑客攻击手段之一，恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的，而利用XSS进行挂马亦是此类攻击方式的最重要的一个用途之一。

　　据悉目前知道创宇已经将该漏洞通知了饭否官方，但截止笔者发稿时，饭否尚未修复该漏洞。

　　漏洞说明: http://www.scanw.com/blog/archives/1330