360網站安全檢測平臺：42%使用UCenter一站登錄介面網站未修費漏洞

3月5日消息，針對2011年10月曝出的「UCenter多點登陸介面UC-key漏洞」，360網站安全檢測平臺公佈抽樣調查資料顯示：在使用UCenter一站登錄介面的網站中，目前約42%的網站仍未修復該漏洞， 可能被駭客輕易登錄並完全控制他人帳號，主要影響社交返利團購等網站，建議相關網站參考360網站安全檢測平臺提供的方案修復漏洞。

360網站安全檢測平臺：HTTP://webscan.360.cn

UCenter是應用廣泛的開放性「使用者中心」程式，建站者經過簡單修改便可以掛接其它協力廠商應用，實現使用者的一站式註冊登錄退出以及社區其他資料的交互。 例如，一些購物類網站支援使用者使用QQ微博等帳號登錄，便是UCenter一站登錄介面的應用。

360網站安全檢測平臺指出，「UC-key漏洞」並非UCenter本身的漏洞，而是UCenter開放給協力廠商使用的時候，協力廠商接入商的建站程式集成UCenter後配置不當，因沒有設置「UC_KEY」的值而出現安全隱患。 有些建站程式雖然設置了「UC_KEY」，但任何人通過程式源碼都可以得到這個值，從而使UCenter的加密資訊透明化，致使駭客可隨意構造並控制使用者。

利用「UC-key漏洞」，駭客無需密碼即可在一些購物網站上登錄他人帳號，查看帳號的消費記錄篡改密碼，甚至操作他人帳號進行交易。 目前，「UC-key漏洞」攻擊方法已經在駭客論壇上廣泛傳開，對大批網站使用者的帳號安全性造成嚴重威脅。

為此，360網站安全檢測平臺特別發佈「UC-key漏洞」修復方案，供相關網站參考：

1如果網站不採用UCenter一站式登錄功能，建議從建站程式中刪除或限制訪問uc_client相關api檔;

2不想刪除檔或限制訪問的情況下，可以對「UC_KEY」設置一個難以猜測的數值，比如：define("UC_KEY"，"ee63576e535511eeb391eca2007167e7");(視實際情況為主， 不同程式的定義方式會不同);

3如果不確定是否會用到UCenter介面或不知道UC_KEY是否定義，可以找到介面檔中解碼函數位置之前做一次檢測，例如：

defined("UC_KEY")?null: die("Access denied");

parse_str(uc_api_x_authcode($code,"DECODE",UC_KEY),$get); uc介面利用UC_KEY做解碼的流程前

4建議集成UCenter的建站程式開發者在安裝步驟中引導使用者設置「UC_KEY」或者提醒使用者關閉此功能。

圖：360解析「UCenter多點登陸介面UC-key漏洞」代碼

關於360網站安全檢測平臺(服務網址：HTTP://webscan.360.cn)

360網站安全檢測平臺是國內首個集網站漏洞檢測網站掛馬監控網站篡改監控于一體的免費檢測平臺，擁有全面的網站漏洞庫及蜜罐集群檢測系統，能夠第一時間協助網站檢測修復漏洞。 2011年，360網站安全監測平臺曾協同360團購導航，為國內數百家主流團購網站提供了免費網站漏洞檢測服務並提供修復建議，提高了團購網站整體安全水準。