原標題：Oauth2.0協議曝漏洞 大量社交網隱私或遭泄露

今晨，繼OpenSSL漏洞后，開源安全軟件再曝安全漏洞。新加坡南洋理工大學研究人員Wang Jing發現，Oauth2.0授權接口的網站存“隱蔽重定向”漏洞，黑客可利用該漏洞給釣魚網站“變裝”，用知名大型網站鏈接引誘用戶登錄釣魚網站，一旦用戶訪問釣魚網站并成功登陸授權，黑客即可讀取其在網站上存儲的私密信息。據悉，騰訊QQ、新浪微博、Facebook、Google等國內外大量知名網站受影響，360網絡攻防實驗室已緊急公布了修復方案，企業和個人用戶均可通過360安全衛士防范該漏洞攻擊。

Oauth是一個被廣泛應用的開放登陸協議，允許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密的信息(如照片，視頻，聯系人列表)，而無需將用戶名和密碼提供給第三方應用。這次曝出的漏洞，可將Oauth2.0的使用方(第三方網站)的回跳域名劫持到惡意網站去，黑客利用XSS漏洞攻擊就能隨意操作被授權的賬號，讀取用戶的隱私信息。像騰訊、新浪微博等社交網站一般對登陸回調地址沒有任何限制，極易遭黑客利用。

360網絡攻防實驗室表示，此次曝光的Oauth2.0漏洞影響范圍有限，只有存在XSS漏洞的第三方網站使用了oauth驗證后才能被成功劫持。不過，想要修復該漏洞，需要Oauth的提供方和使用oauth協議登陸的網站開發者同時行動，才能避免黑客攻擊。對此，360公司緊急推出了修復方案，建議Oauth服務和使用者提高警惕，盡快通過以下方法檢測并及時修復漏洞：

1、 Oauth2.0提供方需要驗證所有使用網站的回調地址，禁止非法參數如：多個域名、XSS攻擊代碼等敏感信息(修復難度較大，但是能最快控制風險)，或增加回調地址簽名驗證，防止被篡改；

2、 Oauth使用者，需要驗證檢測自己的網站是否存在XSS、URL跳轉等web漏洞，并立即進行修復。

此外，360網絡攻防實驗室還建議廣大網友不要點擊他人發來的帶有Oauth字樣的鏈接和網頁內容，以免在各大網站修復漏洞前誤入釣魚網站，被黑客盜取登錄認證信息。各大網站如果在修復漏洞過程中由任何問題，可隨時私信聯系@360網絡攻防實驗室。