雙11血拼要小心！淘寶論壇驚現惡意攻擊代碼

        一年一度的電商“雙十一”在 11 月 11 日零點正式開始。阿里“雙十一”在第一小時的交易額達到 67 億元，交易筆數超 2500 萬筆。5:49 分，交易額達到 100 億，比去年提前了 7 小時 49 分。

        根據今天下午 1 點 03 分公布的最新數據來看，阿里“雙十一”交易額成功達到了 191 億，從而超過了去年“雙十一”全天的交易額，創造了全新的紀錄。按照目前速度計算，今年阿里雙十一的交易額預計將是去年的兩倍。

        就在這個時候，潑冷水的來了。著名漏洞報告平臺烏云今天中午表示有人在淘寶官方論壇等埋下多個路由器“CSRF”攻擊代碼！而且其它論壇也很有可能中招。該漏洞是典型的“釣魚欺詐信息”漏洞，危害等級為“高”。

        目前烏云已經將該漏洞反饋給了淘寶，正在等待廠商處理中。

        關于 CSRF 攻擊代碼：

        CSRF（Cross-site request forgery 跨站請求偽造，也被稱為“one click attack”或者 session riding，通常縮寫為 CSRF 或者 XSRF，是一種對網站的惡意利用。盡管聽起來像跨站腳本（XSS），但它與 XSS 非常不同，并且攻擊方式幾乎相左。XSS 利用站點內的信任用戶，而 CSRF 則通過偽裝來自受信任用戶的請求來利用受信任的網站。與 XSS 攻擊相比，CSRF 攻擊往往不大流行（因此對其進行防范的資源也相當稀少）和難以防范，所以被認為比 XSS 更具危險性。