中新網(wǎng)5月3日電 今晨，繼OpenSSL漏洞後，開源安全軟體再曝安全漏洞。新加坡南洋理工大學(xué)研究人員Wang Jing發(fā)現(xiàn)，Oauth2.0授權(quán)介面的網(wǎng)站存“隱蔽重定向”漏洞，駭客可利用該漏洞給釣魚網(wǎng)站“變裝”，用知名大型網(wǎng)站連結(jié)引誘用戶登錄釣魚網(wǎng)站，一旦用戶訪問釣魚網(wǎng)站並成功登陸授權(quán)，駭客即可讀取其在網(wǎng)站上存儲的私密資訊。據(jù)悉，騰訊QQ、新浪微博、Facebook、Google等國內(nèi)外大量知名網(wǎng)站受影響，360網(wǎng)路攻防實驗室已緊急公佈了修復(fù)方案，企業(yè)和個人用戶均可通過360安全衛(wèi)士防範(fàn)該漏洞攻擊。

　　Oauth是一個被廣泛應(yīng)用的開放登陸協(xié)議，允許用戶讓第三方應(yīng)用訪問該用戶在某一網(wǎng)站上存儲的私密的資訊(如照片，視頻，聯(lián)繫人列表)，而無需將用戶名和密碼提供給第三方應(yīng)用。這次曝出的漏洞，可將Oauth2.0的使用方(第三方網(wǎng)站)的回跳域名劫持到惡意網(wǎng)站去，駭客利用XSS漏洞攻擊就能隨意操作被授權(quán)的賬號，讀取用戶的隱私資訊。像騰訊、新浪微博等社交網(wǎng)站一般對登陸回調(diào)地址沒有任何限制，極易遭駭客利用。

　　360網(wǎng)路攻防實驗室表示，此次曝光的Oauth2.0漏洞影響範(fàn)圍有限，只有存在XSS漏洞的第三方網(wǎng)站使用了oauth驗證後才能被成功劫持。不過，想要修復(fù)該漏洞，需要Oauth的提供方和使用oauth協(xié)議登陸的網(wǎng)站開發(fā)者同時行動，才能避免駭客攻擊。對此，360公司緊急推出了修復(fù)方案，建議Oauth服務(wù)和使用者提高警惕，儘快通過以下方法檢測並及時修復(fù)漏洞：

　　1、 Oauth2.0提供方需要驗證所有使用網(wǎng)站的回調(diào)地址，禁止非法參數(shù)如：多個域名、XSS攻擊代碼等敏感資訊(修復(fù)難度較大，但是能最快控制風(fēng)險)，或增加回調(diào)地址簽名驗證，防止被篡改；

　　2、 Oauth使用者，需要驗證檢測自己的網(wǎng)站是否存在XSS、URL跳轉(zhuǎn)等web漏洞，並立即進(jìn)行修復(fù)。

　　此外，360網(wǎng)路攻防實驗室還建議廣大網(wǎng)友不要點擊他人發(fā)來的帶有Oauth字樣的連結(jié)和網(wǎng)頁內(nèi)容，以免在各大網(wǎng)站修復(fù)漏洞前誤入釣魚網(wǎng)站，被駭客盜取登錄認(rèn)證資訊。各大網(wǎng)站如果在修復(fù)漏洞過程中由任何問題，可隨時私信聯(lián)繫@360網(wǎng)路攻防實驗室。