大家好，雨雨來為大家解答以上問題，360網(wǎng)站安全檢測平臺，360網(wǎng)站安全檢測很多人還不知道，現(xiàn)在讓我們一起來看看吧！

2011年3月5日，根據(jù)2011年10月曝光的“UCenter多點登錄界面UC-key漏洞”，360網(wǎng)站安全檢測平臺公布的抽樣調(diào)查數(shù)據(jù)顯示，使用UCenter一站式登錄界面的網(wǎng)站中，約有42%的網(wǎng)站尚未修復(fù)該漏洞，該漏洞可能被黑客輕易登錄，并完全控制他人賬號，主要影響社交、返利、團購等網(wǎng)站。建議相關(guān)網(wǎng)站參考360網(wǎng)站安全檢測平臺提供的修復(fù)漏洞的方案。

360網(wǎng)站安全檢測平臺(點擊訪問官網(wǎng))

UCenter是一個開放的“以用戶為中心”的程序，被廣泛使用。建站者經(jīng)過簡單的修改，就可以掛接其他第三方應(yīng)用，實現(xiàn)用戶的一站式注冊、登錄、退出以及社區(qū)內(nèi)其他數(shù)據(jù)的交互。比如有些購物網(wǎng)站支持用戶用QQ、微博等賬號登錄，就是UCenter一站式登錄界面的應(yīng)用。

360網(wǎng)站安全檢測指出，“UC-key漏洞”并不是UCenter本身的漏洞，而是UCenter向第三方開放時，整合UCenter后第三方接入提供商的建站程序配置不當(dāng)，由于沒有設(shè)置“UC_KEY”的值，存在安全隱患。雖然在一些建站程序中設(shè)置了“UC_KEY”，但是任何人都可以通過程序源代碼獲取該值，使得UCenter的加密信息透明化，黑客可以隨意構(gòu)造和控制用戶。

利用“UC-key漏洞”，黑客可以在一些購物網(wǎng)站上不用密碼登錄他人賬戶，查看賬戶的消費記錄，篡改密碼，甚至操作他人賬戶進(jìn)行交易。目前，“UC-key漏洞”的攻擊方式已經(jīng)在黑客論壇中廣泛傳播，對大量網(wǎng)站用戶的賬號安全構(gòu)成嚴(yán)重威脅。

圖：360解析“UCenter多點登錄界面UC-key漏洞”代碼

為此，360網(wǎng)站安全檢測平臺特別發(fā)布了“UC-key漏洞”修復(fù)方案，供相關(guān)網(wǎng)站參考：

1.如果網(wǎng)站沒有采用UCenter一站式登錄功能，建議從建站程序中刪除或限制訪問uc_client相關(guān)api文件；

2.如果不想刪除文件或者限制訪問，可以為“UC_KEY”設(shè)置一個難以猜測的值，比如：define('UC_KEY '，' ee 63576 e 535511 eeb 391 ECA 2007167 e 7 ')；(根據(jù)實際情況，不同的程序會有不同的定義)；

3.如果不確定是否會使用UCenter接口或者是否定義了UC_KEY，可以在找到接口文件中解碼函數(shù)的位置之前檢查一下，例如：

已定義(' UC_KEY ')？null : die(“拒絕訪問”)；

parse _ str(UC _ API _ x _ authcode($ code，' DECODE '，UC_KEY)，$ get)；//在UC接口使用UC_KEY做解碼處理之前

4.建議集成UCenter的建站程序開發(fā)者在安裝步驟中引導(dǎo)用戶設(shè)置“UC_KEY”或提醒用戶關(guān)閉該功能。

本文講解到此結(jié)束，希望對大家有所幫助。

標(biāo)簽：