@illl 写代码存在漏洞和被人强行攻击是两码事，所以你的举例不对。。。。代码有漏洞是你盖的房子有质量问题，并不是 A 没上锁。 如果是被 ddos 攻击，这才和你的举例一样。感觉你从头到尾都没有理解网络安全。因为网站是因为主体的需求而产生的，并不是因为“再向上推论微信平台、手机的存在”，因为主体的需求才产生了这个业务，如果因为主体没有做好安全防护，导致客户收到损失，主体就是第一责任人。 中华人民共和国网络安全法已经写的很清楚了

@lscho 我觉得你说的对， 一：我因为此次事件对我客户造成的损失，确实是第一责任人，这个道理我明白，也承担了客户的全部损失。 二，微信因为恶意文件的存在，封禁我的域名，我也能理解，我按照流程复查处理、申诉； 三：假如有人通过访问这个 xml 文件，再跳转到诈骗页面，这个人上当受骗，我也还是第一责任人吗？

@bugly 网络安全法中对网络安全实行的是等级保护制度。 如果你们企业履行了符合自身等级的网络安全等级保护制度，那么你们有可能不是第一责任人。但是从你的描述中，几乎可以确定没有履行。所以你们就是第一责任人。因为用户和平台是契约关系，至于平台被攻击，那是平台和攻击人之间的事，这是两个概念。 其实也就是事情发生到你们身上，你才觉得难以理解。换个说法，你一看就明白了。 假设支付宝有漏洞，你使用支付宝的时候，有人利用支付宝漏洞强制把用户的钱扣了。你觉得用户该找谁？用户肯定报案找支付宝追责，支付宝得去报案找攻击者追责，这是两码事。

@lscho 我觉得这个很难追责，目前从采样的 xml 样本分析中可以发现，每一个植入的脚本都指向不同的域名，他们明显不止控制了一个站点，有些可以拼接 html/xml 提供入口，有些可以注入 js 代码，有些可以提权执行后端代码，为了防止被追踪，访问链接也是重定向了很多次，再由这些零件组装了一个完善的诈骗站点。虽然我已经清理了这些恶意文件，但是不影响他们整个网络的运行。

@xiangbohua @Liuman @est @tes286 @lscho @pytth 我从样本中溯源了一个 xml ，看起来是一个售卖视频的页面，加载流程基本如下，下面的域名不固定，感觉会根据可用性判断跳转地点： 1 => 从某个上级渠道带参数进入我方 xml 执行 JS ，继续生成参数跳转到下一个域名 2 => 进入新的 htm 地址： https://img.yeepay.com/spaceTravel/img/2508122039270000006.htm 3 => 在页面调用了个后端接口： https://web.游小戏.cn/index/index/get?buck=XXXXXX&str=XXXXXX&sign=1111 4 => 生成一个访问 URL ，调用新的接口： https://mam.云途腾.cn/api/url.php?k=1&jump=1&buck=XXXXXX&ur=&t=1111 5 => 根据 4 中返回的 url 又进入一个域名： http://uploadn.luoxiangqiche.com/jiahui-cms-lab/prod/ee9d1d0fe5f1d1f722236c69ee67dd0a.html 做了这么多，只是为了保护 5 的目标地址？ 5 从源码看有支付功能，后端接口是 3 ，域名是一个做挂车的公司持有 😅 ，在微信中依然能访问，我已经给他们留言了。 @lscho 老师，这条作业流水线上我也是第一责任人吗....