提起360网站安全检测平台_360网站安全检测大家在熟悉不过了,被越来越多的人所熟知,那你知道360网站安全检测平台_360网站安全检测吗?快和小编一起去了解一下吧!
2011年3月5日,根据2011年10月曝光的“UCenter多点登录界面UC-key漏洞”,360网站安全检测平台公布的抽样调查数据显示,使用UCenter一站式登录界面的网站中,约有42%的网站尚未修复该漏洞,该漏洞可能被黑客轻易登录,并完全控制他人账号,主要影响社交、返利、团购等网站。建议相关网站参考360网站安全检测平台提供的修复漏洞的方案。
(相关资料图)
360网站安全检测平台(点击访问官网)
UCenter是一个开放的“以用户为中心”的程序,被广泛使用。建站者经过简单的修改,就可以挂接其他第三方应用,实现用户的一站式注册、登录、退出以及社区内其他数据的交互。比如有些购物网站支持用户用QQ、微博等账号登录,就是UCenter一站式登录界面的应用。
360网站安全检测指出,“UC-key漏洞”并不是UCenter本身的漏洞,而是UCenter向第三方开放时,整合UCenter后第三方接入提供商的建站程序配置不当,由于没有设置“UC_KEY”的值,存在安全隐患。虽然在一些建站程序中设置了“UC_KEY”,但是任何人都可以通过程序源代码获取该值,使得UCenter的加密信息透明化,黑客可以随意构造和控制用户。
利用“UC-key漏洞”,黑客可以在一些购物网站上不用密码登录他人账户,查看账户的消费记录,篡改密码,甚至操作他人账户进行交易。目前,“UC-key漏洞”的攻击方式已经在黑客论坛中广泛传播,对大量网站用户的账号安全构成严重威胁。
图:360解析“UCenter多点登录界面UC-key漏洞”代码
为此,360网站安全检测平台特别发布了“UC-key漏洞”修复方案,供相关网站参考:
1.如果网站没有采用UCenter一站式登录功能,建议从建站程序中删除或限制访问uc_client相关api文件;
2.如果不想删除文件或者限制访问,可以为“UC_KEY”设置一个难以猜测的值,比如:define("UC_KEY "," ee 63576 e 535511 eeb 391 ECA 2007167 e 7 ");(根据实际情况,不同的程序会有不同的定义);
3.如果不确定是否会使用UCenter接口或者是否定义了UC_KEY,可以在找到接口文件中解码函数的位置之前检查一下,例如:
已定义(" UC_KEY ")?null : die(“拒绝访问”);
parse _ str(UC _ API _ x _ authcode($ code," DECODE ",UC_KEY),$ get);//在UC接口使用UC_KEY做解码处理之前
4.建议集成UCenter的建站程序开发者在安装步骤中引导用户设置“UC_KEY”或提醒用户关闭该功能。
本文讲解到此结束,希望对大家有所帮助。
关键词:
责任编辑:Rex_02