# 第一個 XSS 蠕蟲: Samy 2005 年 10 月 4 日，Samy 蠕蟲，同類中第一個重大的蠕蟲病毒，利用一個在 MySpace.com 的個人資料頁面模板 的持續的跨站點腳本漏洞進行傳播。Samy，也是作者，用漏洞的 JavaScript 攻擊代碼的第一個副本更新了他的個人資 料頁面（圖 5）。MySpace 上進行一些的輸入的黑名單過濾，以防止 XSS 攻擊，但他們還做的不夠好。使用一些繞過技 術，Samy 成功上傳了他的代碼。當一個通過身份驗證 MySpace 的用戶觀看 Samy 的個人資料，該蠕蟲病毒的 payload 使用 XHR，使得用戶的網頁瀏覽器發送請求，增加 Samy 為朋友，包括加 Samy 為他英雄（譯者注：類似微博關注）（“但最重要的是，加 Samy 為英雄這點”，如圖 6），并用惡意代碼的副本改變用戶的個人資料。當用戶訪問 Samy 或 者其他受感染用戶的個人資料頁，他們基本上在打開瀏覽器時就受到攻擊。  圖 5 和圖 6 示是 MySpace 蠕蟲的技術解釋。 圖 5（左）。Samy，作者，更新了他的個人資料的頁面。 圖 6（右）。 當通過身份驗證的 MySpace 用戶瀏覽 Samy 的個人資料，蠕蟲 payload 使用 XHR，使得用戶的 Web 瀏覽器添加 Samy 朋友，包括添加 Samy 為英雄從單一訪客，然后隨著在社交網絡上的每一個新的不知情的朋友，Samy 蠕蟲感染呈幾何級數增長，受感染的用 戶資料頁面超過 1,000,000。MySpace 是被迫關閉其網站，以阻止感染，修復漏洞，并進行清理。重要的是要注意， MySpace 的用戶不需要是脆弱的東西。對于任何類似的蠕蟲病毒所需要的是一個對于大多數網站已經存在的流行網 站的漏洞。為了獲得 Samy 蠕蟲的意義的新的認識，我們會比較其它相關的暴發，并看到它如何壯大起來的。