Oauth2.0協議曝安全漏洞 大量社交網站隱私或遭洩露

　　中新網5月3日電 今晨，繼OpenSSL漏洞後，開源安全軟體再曝安全漏洞。新加坡南洋理工大學研究人員Wang Jing發現，Oauth2.0授權介面的網站存“隱蔽重定向”漏洞，駭客可利用該漏洞給釣魚網站“變裝”，用知名大型網站連結引誘用戶登錄釣魚網站，一旦用戶訪問釣魚網站並成功登陸授權，駭客即可讀取其在網站上存儲的私密資訊。據悉，騰訊QQ、新浪微博、Facebook、Google等國內外大量知名網站受影響，360網路攻防實驗室已緊急公佈了修復方案，企業和個人用戶均可通過360安全衛士防範該漏洞攻擊。

　　Oauth是一個被廣泛應用的開放登陸協議，允許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密的資訊(如照片，視頻，聯繫人列表)，而無需將用戶名和密碼提供給第三方應用。這次曝出的漏洞，可將Oauth2.0的使用方(第三方網站)的回跳域名劫持到惡意網站去，駭客利用XSS漏洞攻擊就能隨意操作被授權的賬號，讀取用戶的隱私資訊。像騰訊、新浪微博等社交網站一般對登陸回調地址沒有任何限制，極易遭駭客利用。

　　360網路攻防實驗室表示，此次曝光的Oauth2.0漏洞影響範圍有限，只有存在XSS漏洞的第三方網站使用了oauth驗證後才能被成功劫持。不過，想要修復該漏洞，需要Oauth的提供方和使用oauth協議登陸的網站開發者同時行動，才能避免駭客攻擊。對此，360公司緊急推出了修復方案，建議Oauth服務和使用者提高警惕，儘快通過以下方法檢測並及時修復漏洞：

　　1、 Oauth2.0提供方需要驗證所有使用網站的回調地址，禁止非法參數如：多個域名、XSS攻擊代碼等敏感資訊(修復難度較大，但是能最快控制風險)，或增加回調地址簽名驗證，防止被篡改；

　　2、 Oauth使用者，需要驗證檢測自己的網站是否存在XSS、URL跳轉等web漏洞，並立即進行修復。

　　此外，360網路攻防實驗室還建議廣大網友不要點擊他人發來的帶有Oauth字樣的連結和網頁內容，以免在各大網站修復漏洞前誤入釣魚網站，被駭客盜取登錄認證資訊。各大網站如果在修復漏洞過程中由任何問題，可隨時私信聯繫@360網路攻防實驗室。