360网站发布"UC-key漏洞"修复方案

作者: 来源:未知 2012-03-05 10:32:53 阅读 我要评论 直达商品

    3月5日消息,针对2011年10月曝出的“UCenter多点登陆接口UC-key漏洞”,360网站安全检测平台公布抽样调查数据显示:在使用UCenter一站登录接口的网站中,目前约42%的网站仍未修复该漏洞,可能被黑客轻易登录并完全控制他人帐号,主要影响社交、返利、团购等网站,建议相关网站参考360网站安全检测平台提供的方案修复漏洞。

 

  UCenter是应用广泛的开放性“用户中心”程序,建站者经过简单修改便可以挂接其它第三方应用,实现用户的一站式注册、登录、退出以及社区其他数据的交互。例如,一些购物类网站支持用户使用QQ、微博等帐号登录,便是UCenter一站登录接口的应用。

 

  360网站安全检测平台指出,“UC-key漏洞”并非UCenter本身的漏洞,而是UCenter开放给第三方使用的时候,第三方接入商的建站程序集成UCenter后配置不当,因没有设置“UC_KEY”的值而出现安全隐患。有些建站程序虽然设置了“UC_KEY”,但任何人通过程序源码都可以得到这个值,从而使UCenter的加密信息透明化,致使黑客可随意构造并控制用户。

 

  利用“UC-key漏洞”,黑客无需密码即可在一些购物网站上登录他人帐号,查看帐号的消费记录、篡改密码,甚至操作他人帐号进行交易。目前,“UC-key漏洞”攻击方法已经在黑客论坛上广泛传开,对大批网站用户的帐号安全性造成严重威胁。

 

  为此,360网站安全检测平台特别发布“UC-key漏洞”修复方案,供相关网站参考:

 

  1、如果网站不采用UCenter一站式登录功能,建议从建站程序中删除或限制访问uc_client相关api文件;

 

  2、不想删除文件或限制访问的情况下,可以对“UC_KEY”设置一个难以猜测的数值,比如:define('UC_KEY','ee63576e535511eeb391eca2007167e7'); (视实际情况为主,不同程序的定义方式会不同);

 

  3、如果不确定是否会用到UCenter接口或不知道UC_KEY是否定义,可以找到接口文件中解码函数位置之前做一次检测,例如:

 

  defined('UC_KEY') ? null : die('Access denied');

 

  parse_str(uc_api_x_authcode($code, 'DECODE', UC_KEY), $get); //uc接口利用UC_KEY做解码的流程前

 

  4、建议集成UCenter的建站程序开发者在安装步骤中引导用户设置“UC_KEY”或者提醒用户关闭此功能。文/乐购网-www.lgo100.com)

  

360网站安全检测平台发布“UC-key漏洞”修复方案

 

  图:360解析“UCenter多点登陆接口UC-key漏洞”代码

 


  推荐阅读

  密码保卫战:黑客常用暴力破解工具

[ 保护密码最常用的手段是使用复杂的密码。如果把密码设得较长且没有明显规律特征,那么穷举破解工具的破解过程就变得非常困难 ] 生活中,一个人得记住多少组密码?恐怕没有人专门做过统计。但稍微回顾一下,你会发现>>>详细阅读


本文标题:360网站发布"UC-key漏洞"修复方案

地址:http://www.lgo100.com/a/11/20120305/36699.html

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
我的评论: 人参与评论
验证码: 匿名回答
网友评论(点击查看更多条评论)
友情提示: 登录后发表评论,可以直接从评论中的用户名进入您的个人空间,让更多网友认识您。
自媒体专栏

评论

热度