3月5日消息,針對2011年10月曝出的“UCenter多點登陸接口UC-key漏洞”,360網站安全檢測平臺公布抽樣調查數據顯示:在使用UCenter一站登錄接口的網站中,目前約42%的網站仍未修復該漏洞,可能被黑客輕易登錄并完全控制他人帳號,主要影響社交、返利、團購等網站,建議相關網站參考360網站安全檢測平臺提供的方案修復漏洞。
UCenter是應用廣泛的開放性“用戶中心”程序,建站者經過簡單修改便可以掛接其它第三方應用,實現用戶的一站式注冊、登錄、退出以及社區其他數據的交互。例如,一些購物類網站支持用戶使用QQ、微博等帳號登錄,便是UCenter一站登錄接口的應用。
360網站安全檢測平臺指出,“UC-key漏洞”并非UCenter本身的漏洞,而是UCenter開放給第三方使用的時候,第三方接入商的建站程序集成UCenter后配置不當,因沒有設置“UC_KEY”的值而出現安全隱患。有些建站程序雖然設置了“UC_KEY”,但任何人通過程序源碼都可以得到這個值,從而使UCenter的加密信息透明化,致使黑客可隨意構造并控制用戶。
利用“UC-key漏洞”,黑客無需密碼即可在一些購物網站上登錄他人帳號,查看帳號的消費記錄、篡改密碼,甚至操作他人帳號進行交易。目前,“UC-key漏洞”攻擊方法已經在黑客論壇上廣泛傳開,對大批網站用戶的帳號安全性造成嚴重威脅。
為此,360網站安全檢測平臺特別發布“UC-key漏洞”修復方案,供相關網站參考:
1、如果網站不采用UCenter一站式登錄功能,建議從建站程序中刪除或限制訪問uc_client相關api文件;
2、不想刪除文件或限制訪問的情況下,可以對“UC_KEY”設置一個難以猜測的數值,比如:define('UC_KEY','ee63576e535511eeb391eca2007167e7'); (視實際情況為主,不同程序的定義方式會不同);
3、如果不確定是否會用到UCenter接口或不知道UC_KEY是否定義,可以找到接口文件中解碼函數位置之前做一次檢測,例如:
defined('UC_KEY') ? null : die('Access denied');
parse_str(uc_api_x_authcode($code, 'DECODE', UC_KEY), $get); //uc接口利用UC_KEY做解碼的流程前
4、建議集成UCenter的建站程序開發者在安裝步驟中引導用戶設置“UC_KEY”或者提醒用戶關閉此功能。文/樂購網-www.xglongwei.com)
圖:360解析“UCenter多點登陸接口UC-key漏洞”代碼
推薦閱讀
[ 保護密碼最常用的手段是使用復雜的密碼。如果把密碼設得較長且沒有明顯規律特征,那么窮舉破解工具的破解過程就變得非常困難 ] 生活中,一個人得記住多少組密碼?恐怕沒有人專門做過統計。但稍微回顧一下,你會發現>>>詳細閱讀
地址:http://www.xglongwei.com/a/11/20120305/36699.html
網友點評
精彩導讀
科技快報
品牌展示