Oauth2.0協議曝漏洞 大量社交網站隱私或遭泄露

2014年是IT業界不日常的一年，XP停服、IE長老漏洞(祕狐)等等層出不窮，如今，社交網絡也爆出驚天漏洞：Oauth2.0協議漏洞

　　繼OpenSSL漏洞後，開源安全軟件再曝安全漏洞。新加坡南洋理工大學研究人員Wang Jing發現，Oauth2.0受權接口的網站存「隱蔽重定向」漏洞，黑客可利用該漏洞給釣魚網站「變裝」，用知名大型網站連接引誘用戶登陸釣魚網站，一旦用戶訪問釣魚網站併成功登錄受權，黑客便可讀取其在網站上存儲的私密信息。據悉，騰訊QQ、新浪微博、Facebook、Google等國內外大量知名網站受影響，360網絡攻防實驗室已緊急公佈了修復方案，企業和我的用戶都可經過360安全衛士防範該漏洞攻擊。

　　Oauth是一個被普遍應用的開放登錄協議，容許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密的信息(如照片，視頻，聯繫人列表)，而無需將用戶名和密碼提供給第三方應用。此次曝出的漏洞，可將Oauth2.0的使用方(第三方網站)的回跳域名劫持到惡意網站去，黑客利用XSS漏洞攻擊就能隨意操做被受權的帳號，讀取用戶的隱私信息。像騰訊、新浪微博等社交網站通常對登錄回調地址沒有任何限制，極易遭黑客利用。

　　360網絡攻防實驗室表示，這次曝光的Oauth2.0漏洞影響範圍有限，只有存在XSS漏洞的第三方網站使用了oauth驗證後才能被成功劫持。不過，想要修復該漏洞，須要Oauth的提供方和使用oauth協議登錄的網站開發者同時行動，才能避免黑客攻擊。對此，360公司緊急推出了修復方案，建議Oauth服務和使用者提升警戒，儘快經過如下方法檢測並及時修復漏洞：

　　一、 Oauth2.0提供方須要驗證全部使用網站的回調地址，禁止非法參數如：多個域名、XSS攻擊代碼等敏感信息(修復難度較大，可是能最快控制風險)，或增長回調地址簽名驗證，防止被篡改;

　　二、 Oauth使用者，須要驗證檢測本身的網站是否存在XSS、URL跳轉等web漏洞，並當即進行修復。

　　此外，360網絡攻防實驗室還建議廣大網友不要點擊他人發來的帶有Oauth字樣的連接和網頁內容，以避免在各大網站修復漏洞前誤入釣魚網站，被黑客盜取登陸認證信息。各大網站若是在修復漏洞過程當中由任何問題，可隨時私信聯繫@360網絡攻防實驗室。

　　喜歡社交網絡的朋友們，網絡隱私安全在於開發者和使用者、應用者共同呵護，請別忽視你在網絡中的隱私安全

 

http://sec.chinabyte.com/452/12938952.shtml