大家好，雨雨來(lái)為大家解答以上問(wèn)題，360網(wǎng)站安全檢測(cè)平臺(tái)，360網(wǎng)站安全檢測(cè)很多人還不知道，現(xiàn)在讓我們一起來(lái)看看吧！

2011年3月5日，根據(jù)2011年10月曝光的“UCenter多點(diǎn)登錄界面UC-key漏洞”，360網(wǎng)站安全檢測(cè)平臺(tái)公布的抽樣調(diào)查數(shù)據(jù)顯示，使用UCenter一站式登錄界面的網(wǎng)站中，約有42%的網(wǎng)站尚未修復(fù)該漏洞，該漏洞可能被黑客輕易登錄，并完全控制他人賬號(hào)，主要影響社交、返利、團(tuán)購(gòu)等網(wǎng)站。建議相關(guān)網(wǎng)站參考360網(wǎng)站安全檢測(cè)平臺(tái)提供的修復(fù)漏洞的方案。

360網(wǎng)站安全檢測(cè)平臺(tái)(點(diǎn)擊訪問(wèn)官網(wǎng))

UCenter是一個(gè)開(kāi)放的“以用戶為中心”的程序，被廣泛使用。建站者經(jīng)過(guò)簡(jiǎn)單的修改，就可以掛接其他第三方應(yīng)用，實(shí)現(xiàn)用戶的一站式注冊(cè)、登錄、退出以及社區(qū)內(nèi)其他數(shù)據(jù)的交互。比如有些購(gòu)物網(wǎng)站支持用戶用QQ、微博等賬號(hào)登錄，就是UCenter一站式登錄界面的應(yīng)用。

360網(wǎng)站安全檢測(cè)指出，“UC-key漏洞”并不是UCenter本身的漏洞，而是UCenter向第三方開(kāi)放時(shí)，整合UCenter后第三方接入提供商的建站程序配置不當(dāng)，由于沒(méi)有設(shè)置“UC_KEY”的值，存在安全隱患。雖然在一些建站程序中設(shè)置了“UC_KEY”，但是任何人都可以通過(guò)程序源代碼獲取該值，使得UCenter的加密信息透明化，黑客可以隨意構(gòu)造和控制用戶。

利用“UC-key漏洞”，黑客可以在一些購(gòu)物網(wǎng)站上不用密碼登錄他人賬戶，查看賬戶的消費(fèi)記錄，篡改密碼，甚至操作他人賬戶進(jìn)行交易。目前，“UC-key漏洞”的攻擊方式已經(jīng)在黑客論壇中廣泛傳播，對(duì)大量網(wǎng)站用戶的賬號(hào)安全構(gòu)成嚴(yán)重威脅。

圖：360解析“UCenter多點(diǎn)登錄界面UC-key漏洞”代碼

為此，360網(wǎng)站安全檢測(cè)平臺(tái)特別發(fā)布了“UC-key漏洞”修復(fù)方案，供相關(guān)網(wǎng)站參考：

1.如果網(wǎng)站沒(méi)有采用UCenter一站式登錄功能，建議從建站程序中刪除或限制訪問(wèn)uc_client相關(guān)api文件；

2.如果不想刪除文件或者限制訪問(wèn)，可以為“UC_KEY”設(shè)置一個(gè)難以猜測(cè)的值，比如：define('UC_KEY '，' ee 63576 e 535511 eeb 391 ECA 2007167 e 7 ')；(根據(jù)實(shí)際情況，不同的程序會(huì)有不同的定義)；

3.如果不確定是否會(huì)使用UCenter接口或者是否定義了UC_KEY，可以在找到接口文件中解碼函數(shù)的位置之前檢查一下，例如：

已定義(' UC_KEY ')？null : die(“拒絕訪問(wèn)”)；

parse _ str(UC _ API _ x _ authcode($ code，' DECODE '，UC_KEY)，$ get)；//在UC接口使用UC_KEY做解碼處理之前

4.建議集成UCenter的建站程序開(kāi)發(fā)者在安裝步驟中引導(dǎo)用戶設(shè)置“UC_KEY”或提醒用戶關(guān)閉該功能。

本文講解到此結(jié)束，希望對(duì)大家有所幫助。

　　免責(zé)聲明：本文由用戶上傳，與本網(wǎng)站立場(chǎng)無(wú)關(guān)。財(cái)經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險(xiǎn)自擔(dān)。 如有侵權(quán)請(qǐng)聯(lián)系刪除！