中新網5月3日電 今晨,繼OpenSSL漏洞後,開源安全軟體再曝安全漏洞。新加坡南洋理工大學研究人員Wang Jing發現,Oauth2.0授權介面的網站存“隱蔽重定向”漏洞,駭客可利用該漏洞給釣魚網站“變裝”,用知名大型網站連結引誘用戶登錄釣魚網站,一旦用戶訪問釣魚網站並成功登陸授權,駭客即可讀取其在網站上存儲的私密資訊。據悉,騰訊QQ、新浪微博、Facebook、Google等國內外大量知名網站受影響,360網路攻防實驗室已緊急公佈了修復方案,企業和個人用戶均可通過360安全衛士防範該漏洞攻擊。
Oauth是一個被廣泛應用的開放登陸協議,允許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密的資訊(如照片,視頻,聯繫人列表),而無需將用戶名和密碼提供給第三方應用。這次曝出的漏洞,可將Oauth2.0的使用方(第三方網站)的回跳域名劫持到惡意網站去,駭客利用XSS漏洞攻擊就能隨意操作被授權的賬號,讀取用戶的隱私資訊。像騰訊、新浪微博等社交網站一般對登陸回調地址沒有任何限制,極易遭駭客利用。
360網路攻防實驗室表示,此次曝光的Oauth2.0漏洞影響範圍有限,只有存在XSS漏洞的第三方網站使用了oauth驗證後才能被成功劫持。不過,想要修復該漏洞,需要Oauth的提供方和使用oauth協議登陸的網站開發者同時行動,才能避免駭客攻擊。對此,360公司緊急推出了修復方案,建議Oauth服務和使用者提高警惕,儘快通過以下方法檢測並及時修復漏洞:
1、 Oauth2.0提供方需要驗證所有使用網站的回調地址,禁止非法參數如:多個域名、XSS攻擊代碼等敏感資訊(修復難度較大,但是能最快控制風險),或增加回調地址簽名驗證,防止被篡改;
2、 Oauth使用者,需要驗證檢測自己的網站是否存在XSS、URL跳轉等web漏洞,並立即進行修復。
此外,360網路攻防實驗室還建議廣大網友不要點擊他人發來的帶有Oauth字樣的連結和網頁內容,以免在各大網站修復漏洞前誤入釣魚網站,被駭客盜取登錄認證資訊。各大網站如果在修復漏洞過程中由任何問題,可隨時私信聯繫@360網路攻防實驗室。
[責任編輯: 林天泉]