3月5日消息，針對2011年10月曝出的“UCenter多點登陸接口UC-key漏洞”，360網(wǎng)站安全檢測平臺公布抽樣調(diào)查數(shù)據(jù)顯示：在使用UCenter一站登錄接口的網(wǎng)站中，目前約42%的網(wǎng)站仍未修復(fù)該漏洞，可能被黑客輕易登錄并完全控制他人帳號，主要影響社交、返利、團購等網(wǎng)站，建議相關(guān)網(wǎng)站參考360網(wǎng)站安全檢測平臺提供的方案修復(fù)漏洞。

　　360網(wǎng)站安全檢測平臺：http://webscan.#

　　UCenter是應(yīng)用廣泛的開放性“用戶中心”程序，建站者經(jīng)過簡單修改便可以掛接其它第三方應(yīng)用，實現(xiàn)用戶的一站式注冊、登錄、退出以及社區(qū)其他數(shù)據(jù)的交互。例如，一些購物類網(wǎng)站支持用戶使用QQ、微博等帳號登錄，便是UCenter一站登錄接口的應(yīng)用。

　　360網(wǎng)站安全檢測平臺指出，“UC-key漏洞”并非UCenter本身的漏洞，而是UCenter開放給第三方使用的時候，第三方接入商的建站程序集成UCenter后配置不當(dāng)，因沒有設(shè)置“UC_KEY”的值而出現(xiàn)安全隱患。有些建站程序雖然設(shè)置了“UC_KEY”，但任何人通過程序源碼都可以得到這個值，從而使UCenter的加密信息透明化，致使黑客可隨意構(gòu)造并控制用戶。

　　利用“UC-key漏洞”，黑客無需密碼即可在一些購物網(wǎng)站上登錄他人帳號，查看帳號的消費記錄、篡改密碼，甚至操作他人帳號進行交易。目前，“UC-key漏洞”攻擊方法已經(jīng)在黑客論壇上廣泛傳開，對大批網(wǎng)站用戶的帳號安全性造成嚴(yán)重威脅。

　　為此，360網(wǎng)站安全檢測平臺特別發(fā)布“UC-key漏洞”修復(fù)方案，供相關(guān)網(wǎng)站參考：

　　1、如果網(wǎng)站不采用UCenter一站式登錄功能，建議從建站程序中刪除或限制訪問uc_client相關(guān)api文件;

　　2、不想刪除文件或限制訪問的情況下，可以對“UC_KEY”設(shè)置一個難以猜測的數(shù)值，比如：define('UC_KEY'，'ee63576e535511eeb391eca2007167e7'); (視實際情況為主，不同程序的定義方式會不同);

　　3、如果不確定是否會用到UCenter接口或不知道UC_KEY是否定義，可以找到接口文件中解碼函數(shù)位置之前做一次檢測，例如：

　　defined('UC_KEY') ? null : die('Access denied');

　　parse_str(uc_api_x_authcode($code, 'DECODE', UC_KEY), $get); //uc接口利用UC_KEY做解碼的流程前

　　4、建議集成UCenter的建站程序開發(fā)者在安裝步驟中引導(dǎo)用戶設(shè)置“UC_KEY”或者提醒用戶關(guān)閉此功能。