小心！互聯網最大規模帳號劫持漏洞即將引爆

        站長之家記者與近日從國內資深互聯網應用安全提供商知道創宇安全研究團隊處得悉，目前有一項嚴重危害用戶隱私的漏洞剛剛被發現，包括旅游、招聘、娛樂、SNS 交友、各大電商等各類網站均會被影響，國內使用第三方登錄機制的網站中普遍存在此漏洞。

        由于此類攻擊不受同源策略等瀏覽器的安全限制，且不易被目標發現，因此危害嚴重。一旦被利用，用戶的帳號會被永久劫持，賬戶信息會被任意瀏覽和改動。

        由于之前出現過關聯類漏洞，疑似已經有攻擊者開始利用這個漏洞進行實際攻擊，請廣大網民確認自身賬號信息是否已遭惡意劫持，及時采取措施保護自身賬號。

        經確認，此漏洞是由于開發人員沒有正確按照 OAuth2 授權機制的開發文檔使用 OAuth2，導致攻擊者能夠實施跨站請求偽造(CSRF)通過第三方網站來劫持用戶在目標網站的賬戶。

        劫持流程：

        虛擬測試：

        攻擊者想通過自己的微博劫持并登錄受害人的賬戶

        如上圖所示，正常的授權流程，用戶點擊授權后便不再可控，剩下的工作由第三方應用和授權服務器(資源提供方)進行交互來完成，而攻擊者可以阻止 授權流程的正常進行，將中間的關鍵 URL 截取下來，誘騙用戶訪問，成功后可以將受害人的賬戶綁定到攻擊者的微博賬戶上。此后，攻擊者可以使用微博的賬戶自由登入受害人的主站賬戶及瀏覽器賬戶，任 意查看和修改用戶的隱私數據。

        受到 OAuth2 CSRF 漏洞影響的部分網站列表(測試后)：

        安全廠商：360網站 360 瀏覽器 …

        IT 媒體：CSDN 中關村在線 …

        團購：糯米團購 …

        資訊：果殼 …

        購物分享：蘑菇街 …

        電商：聚美優品 …

        視頻：優酷樂視網 CNTV …

        招聘：大街 …

        婚介：百合網 …

        輕博客：點點 …

        SNS ：開心網 …

        隊對于 OAuth2 CSRF 漏洞防御的建議如下：

        1)對于開發人員：

        1，授權過程中傳遞 state 隨機哈希值，并在服務端進行判斷。

        2，在綁定過程中，應強制用戶重新輸入用戶名密碼確認綁定，不要直接讀取當前用戶 session 進行綁定。

        3，限制帶有 Authorization code 參數的請求僅能使用一次(避免重放攻擊)。

        4，推薦使用 Authorization Code 方式進行授權，而不要使用 Implicit Flow 方式。這樣 access token 會從授權服務器以響應體的形式返回而不會暴露在客戶端。

        2)對于普通用戶：

        定期查看重要網站的第三方帳號綁定頁面，檢查是否有陌生的其他帳號綁定到自身賬戶，如果發現應立即取消綁定或授權。