中新網(wǎng)5月3日電 今晨，繼OpenSSL漏洞後，開(kāi)源安全軟體再曝安全漏洞。新加坡南洋理工大學(xué)研究人員Wang Jing發(fā)現(xiàn)，Oauth2.0授權(quán)介面的網(wǎng)站存“隱蔽重定向”漏洞，駭客可利用該漏洞給釣魚(yú)網(wǎng)站“變裝”，用知名大型網(wǎng)站連結(jié)引誘用戶登錄釣魚(yú)網(wǎng)站，一旦用戶訪問(wèn)釣魚(yú)網(wǎng)站並成功登陸授權(quán)，駭客即可讀取其在網(wǎng)站上存儲(chǔ)的私密資訊。據(jù)悉，騰訊QQ、新浪微博、Facebook、Google等國(guó)內(nèi)外大量知名網(wǎng)站受影響，360網(wǎng)路攻防實(shí)驗(yàn)室已緊急公佈了修復(fù)方案，企業(yè)和個(gè)人用戶均可通過(guò)360安全衛(wèi)士防範(fàn)該漏洞攻擊。

　　Oauth是一個(gè)被廣泛應(yīng)用的開(kāi)放登陸協(xié)議，允許用戶讓第三方應(yīng)用訪問(wèn)該用戶在某一網(wǎng)站上存儲(chǔ)的私密的資訊(如照片，視頻，聯(lián)繫人列表)，而無(wú)需將用戶名和密碼提供給第三方應(yīng)用。這次曝出的漏洞，可將Oauth2.0的使用方(第三方網(wǎng)站)的回跳域名劫持到惡意網(wǎng)站去，駭客利用XSS漏洞攻擊就能隨意操作被授權(quán)的賬號(hào)，讀取用戶的隱私資訊。像騰訊、新浪微博等社交網(wǎng)站一般對(duì)登陸回調(diào)地址沒(méi)有任何限制，極易遭駭客利用。

　　360網(wǎng)路攻防實(shí)驗(yàn)室表示，此次曝光的Oauth2.0漏洞影響範(fàn)圍有限，只有存在XSS漏洞的第三方網(wǎng)站使用了oauth驗(yàn)證後才能被成功劫持。不過(guò)，想要修復(fù)該漏洞，需要Oauth的提供方和使用oauth協(xié)議登陸的網(wǎng)站開(kāi)發(fā)者同時(shí)行動(dòng)，才能避免駭客攻擊。對(duì)此，360公司緊急推出了修復(fù)方案，建議Oauth服務(wù)和使用者提高警惕，儘快通過(guò)以下方法檢測(cè)並及時(shí)修復(fù)漏洞：

　　1、 Oauth2.0提供方需要驗(yàn)證所有使用網(wǎng)站的回調(diào)地址，禁止非法參數(shù)如：多個(gè)域名、XSS攻擊代碼等敏感資訊(修復(fù)難度較大，但是能最快控制風(fēng)險(xiǎn))，或增加回調(diào)地址簽名驗(yàn)證，防止被篡改；

　　2、 Oauth使用者，需要驗(yàn)證檢測(cè)自己的網(wǎng)站是否存在XSS、URL跳轉(zhuǎn)等web漏洞，並立即進(jìn)行修復(fù)。

　　此外，360網(wǎng)路攻防實(shí)驗(yàn)室還建議廣大網(wǎng)友不要點(diǎn)擊他人發(fā)來(lái)的帶有Oauth字樣的連結(jié)和網(wǎng)頁(yè)內(nèi)容，以免在各大網(wǎng)站修復(fù)漏洞前誤入釣魚(yú)網(wǎng)站，被駭客盜取登錄認(rèn)證資訊。各大網(wǎng)站如果在修復(fù)漏洞過(guò)程中由任何問(wèn)題，可隨時(shí)私信聯(lián)繫@360網(wǎng)路攻防實(shí)驗(yàn)室。