360网站安全检测平台:42%使用UCenter一站登录接口网站未修费漏洞

  3月5日消息,针对2011年10月曝出的“UCenter多点登陆接口UC-key漏洞”,360网站安全检测平台公布抽样调查数据显示:在使用UCenter一站登录接口的网站中,目前约42%的网站仍未修复该漏洞,可能被黑客轻易登录并完全控制他人帐号,主要影响社交返利团购等网站,建议相关网站参考360网站安全检测平台提供的方案修复漏洞。

  360网站安全检测平台:http://webscan.360.cn

  UCenter是应用广泛的开放性“用户中心”程序,建站者经过简单修改便可以挂接其它第三方应用,实现用户的一站式注册登录退出以及社区其他数据的交互。例如,一些购物类网站支持用户使用QQ微博等帐号登录,便是UCenter一站登录接口的应用。

  360网站安全检测平台指出,“UC-key漏洞”并非UCenter本身的漏洞,而是UCenter开放给第三方使用的时候,第三方接入商的建站程序集成UCenter后配置不当,因没有设置“UC_KEY”的值而出现安全隐患。有些建站程序虽然设置了“UC_KEY”,但任何人通过程序源码都可以得到这个值,从而使UCenter的加密信息透明化,致使黑客可随意构造并控制用户。

  利用“UC-key漏洞”,黑客无需密码即可在一些购物网站上登录他人帐号,查看帐号的消费记录篡改密码,甚至操作他人帐号进行交易。目前,“UC-key漏洞”攻击方法已经在黑客论坛上广泛传开,对大批网站用户的帐号安全性造成严重威胁。

  为此,360网站安全检测平台特别发布“UC-key漏洞”修复方案,供相关网站参考:

  1如果网站不采用UCenter一站式登录功能,建议从建站程序中删除或限制访问uc_client相关api文件;

  2不想删除文件或限制访问的情况下,可以对“UC_KEY”设置一个难以猜测的数值,比如:define("UC_KEY","ee63576e535511eeb391eca2007167e7");(视实际情况为主,不同程序的定义方式会不同);

  3如果不确定是否会用到UCenter接口或不知道UC_KEY是否定义,可以找到接口文件中解码函数位置之前做一次检测,例如:

  defined("UC_KEY")?null: die("Access denied");

  parse_str(uc_api_x_authcode($code,"DECODE",UC_KEY),$get); //uc接口利用UC_KEY做解码的流程前

  4建议集成UCenter的建站程序开发者在安装步骤中引导用户设置“UC_KEY”或者提醒用户关闭此功能。

图:360解析“UCenter多点登陆接口UC-key漏洞”代码

  关于360网站安全检测平台(服务网址:http://webscan.360.cn)

  360网站安全检测平台是国内首个集网站漏洞检测网站挂马监控网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞。2011年,360网站安全监测平台曾协同360团购导航,为国内数百家主流团购网站提供了免费网站漏洞检测服务并提供修复建议,提高了团购网站整体安全水平。

时间: 2024-09-20 07:34:39

360网站安全检测平台:42%使用UCenter一站登录接口网站未修费漏洞的相关文章

360网站安全检测不留死角 力助站长排查漏洞隐患

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 当前,互联网已经成为人们生活中不可或缺的一部分,数以亿计的活跃网站无时不刻不影响人们的生活习惯,人们拥有的网站账号与日俱增,大量个人信息被保存在网站服务器上,网站安全的重要性由此凸显.但并非每个站长或管理员都有精力时刻关注网站安全,像360网站安全检测平台这样简单有效的检测工具就成为很多站长的最佳选择,随着该平台用户的逐渐增加,国内网站的整体

漏洞检测国内领先 360网站安全检测成站长必备

摘要: 当前,网站安全事故频发,网民数据安全面临威胁,以网站安全检测技术为代表的网络安全技术也成为行业关注焦点.360网站安全检测平台作为国内首个集漏洞检测.挂马检测和篡改检 当前,网站安全事故频发,网民数据安全面临威胁,以网站安全检测技术为代表的网络安全技术也成为行业关注焦点.360网站安全检测平台作为国内首个集"漏洞检测"."挂马检测"和"篡改检测"于一体的一站式全免费的服务平台.全方位对网站进行漏洞扫描,真正能够实现"轻松一点,网

360安全服务已按反馈邮件要求,登录网络安全检测平台修复漏洞,为何仍有提示?

  通过网站安全检测平台修复,需先认领网站;点击"查看网站安全报告"对网站进行检测;验证站长权限.查看漏洞信息并根据提示进行修复;修复完成后重新登录并再次检测.待"网站漏洞"检测项显示绿色"安全",表示网站漏洞已修复完成. 修复完漏洞后需再次提交申诉,由技术人员核实后可去除风险提示.

新手教程:教你如何进行网站安全检测

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 无论是企业网站还是个人网站,网站安全都是一个很重要的模板,因为网站安全直接影响到一个网站的信誉,流量和盈利.网站被黑带来的挂马,挂黑链,网站内容篡改,病毒的扩散点,用户信息泄漏等等的问题都可能会给网站带来灭顶之灾,故做好网站的安全检测和安全维护都是非常重要的工作. 接下来就教教大家如何对自己网站进行安全检测.当然,我在这也就作为抛砖引玉之举,

移动APP漏洞自动化检测平台建设

前言:本文是<移动APP客户端安全笔记>系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考.希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流. 一.国内Android App漏洞检测发展简史 1.1石器时代 (2007-2011) 关键词:反编绎,人工审计 2007年11年,Googl

站内和站外导致网站降权的影响因素

摘要: 站的优化最怕的就是网站降权,降权了找不到原因,也不知道如何有效的.针对性的去解决降权的问题,我相信也许很多的老站长朋友优化网站都有遇到过降权的问题,对于刚刚接触网 站的优化最怕的就是网站降权,降权了找不到原因,也不知道如何有效的.针对性的去解决降权的问题,我相信也许很多的老站长朋友优化网站都有遇到过降权的问题,对于刚刚接触网站 优化的新朋友.或者接触网站优化不长的朋友你们很幸运暂时没有遇到网站降权的问题,那么今天我就给大家总结了以下网站降权的原因,也让大家后期在操作网站上面,尽量避免操作

360网站安全检测与监控宝正式展开战略合作

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 11月6日消息,国内最大的免费网站安全检测产品360网站安全检测与知名网站监测产品监控宝正式展开战略合作,实现数据互通,为站长们提供更多的数据.更好的体验. 图:360网站安全检测用户可直接看到监控宝结果 360网站安全检测(webscan.360.cn)是360旗下的免费网站安全检测产品,拥有庞大的漏洞库,可高效检出网站存在的漏洞.挂马.篡

360网站安全检测阿里云不通过的解决办法

360网站安全检测阿里云不通过的解决办法 来源:http://6666668.cn/36.html 今早有用360网站安全检测检测我的阿里云ECS,检测到18%的时候死活不过,提示   我点击查看方法结果显示如下: 360网站安全检测和阿里云云盾的[安全体检]功能类似,会根据漏洞库,模拟攻击者对用户的网站进行相关扫描和探测,以判断是否有相关漏洞,然后给出相应的告警信息. 由于当前360网站安全检测并未提供固定服务器IP,也未通过官方渠道将其相关检测服务器的IP地址反馈给阿里云添加白名单放行. 所

360收购不到一岁的基于SaaS模式在线网站日志分析平台“日志宝”

冯大辉的http://www.aliyun.com/zixun/aggregation/32631.html">小道消息今日透露,360已经完成了对"日志宝"的收购.日志宝创始人兼CEO董方向我们证实了该消息,并表示此次收购是基于业务和资源的整合,但未透露具体收购细节,只是说收购形式为"股票+现金". 日志宝是一个基于SaaS模式的在线网站日志分析平台,专注于提供网站Web访问日志分析服务,目前兼容NCSA和W3C日志格式,于2012年5月7日正式上