# 介绍 2005 年 10 月 14 日, “Samy worm1”成为第一大使用跨站脚本 2(“XSS”)进行传播感染的蠕虫。一夜之间，蠕虫在世 界最流行的社交网站 MySpace.com 上，更改了超过一百万个人用户个人资料页面。该蠕虫通过 JavaScript 病毒性代码 来感染网站，并且添加一个叫 Samy 的黑客为”朋友”和”英雄 3”(译者注:类似于微博关注)。使得 MySpace 这样一个在美 国超过 3200 万用户的、排名前十(根据 ALEXA 排名)的网站被迫关闭以阻止冲击。 Samy，蠕虫作者，原意只是想要变得更知名,然后这样的一个 payload 也是相对良性的。但是，请想想他拥有和控 制着超过一百万可支配的 Web 浏览器和千兆带宽，他可以做什么——浏览器，也可能登录到谷歌，雅虎，微软 Passport， 易趣，网络银行，股票经纪，博客，留言板，或任何其他的 Web 应用程序。不过重要的是我们开始了解相关的风险 的大小与 XSS 恶意软件的方法和途径，企业可以保护他们自己和他们的用户，尤其是当恶意软件来源于信任的网站和 侵略性的编写者。 在本白皮书中，我们将提供一个关于 XSS 的概述;定义 XSS 蠕虫;检验传播方式，感染率和潜在的影响。最重要的是，我们将描述如何立即采取措施，企业可以采取以捍卫他们的网站。