3月5日消息，針對2011年10月曝出的“UCenter多點登陸接口UC-key漏洞”，360網站安全檢測平臺公佈抽樣調查數據顯示：在使用UCenter一站登錄接口的網站中，目前約42%的網站仍未修復該漏洞，可能被黑客輕易登錄並完全控制他人帳號，主要影響社交、返利、團購等網站，建議相關網站參考360網站安全檢測平臺提供的方案修復漏洞。

　　360網站安全檢測平臺：http://webscan.360.cn

　　UCenter是應用廣泛的開放性“用戶中心”程序，建站者經過簡單修改便可以挂接其它第三方應用，實現用戶的一站式註冊、登錄、退出以及社區其他數據的交互。例如，一些購物類網站支持用戶使用QQ、微博等帳號登錄，便是UCenter一站登錄接口的應用。

　　360網站安全檢測平臺指出，“UC-key漏洞”並非UCenter本身的漏洞，而是UCenter開放給第三方使用的時候，第三方接入商的建站程序集成UCenter後配置不當，因沒有設置“UC_KEY”的值而出現安全隱患。有些建站程序雖然設置了“UC_KEY”，但任何人通過程序源碼都可以得到這個值，從而使UCenter的加密信息透明化，致使黑客可隨意構造並控制用戶。

　　利用“UC-key漏洞”，黑客無需密碼即可在一些購物網站上登錄他人帳號，查看帳號的消費記錄、篡改密碼，甚至操作他人帳號進行交易。目前，“UC-key漏洞”攻擊方法已經在黑客論壇上廣泛傳開，對大批網站用戶的帳號安全性造成嚴重威脅。

　　為此，360網站安全檢測平臺特別發佈“UC-key漏洞”修復方案，供相關網站參考：

　　1、如果網站不採用UCenter一站式登錄功能，建議從建站程序中刪除或限制訪問uc_client相關api文件;

　　2、不想刪除文件或限制訪問的情況下，可以對“UC_KEY”設置一個難以猜測的數值，比如：define(’UC_KEY’，’ee63576e535511eeb391eca2007167e7’);(視實際情況為主，不同程序的定義方式會不同);

　　3、如果不確定是否會用到UCenter接口或不知道UC_KEY是否定義，可以找到接口文件中解碼函數位置之前做一次檢測，例如：

　　defined(’UC_KEY’)? null: die(’Access denied’);

　　parse_str(uc_api_x_authcode($code,’DECODE’, UC_KEY),$get);//uc接口利用UC_KEY做解碼的流程前

　　4、建議集成UCenter的建站程序開發者在安裝步驟中引導用戶設置“UC_KEY”或者提醒用戶關閉此功能。

圖：360解析“UCenter多點登陸接口UC-key漏洞”代碼

　　關於360網站安全檢測平臺(服務網址：http://webscan.360.cn)

　　360網站安全檢測平臺是國內首個集網站漏洞檢測、網站挂馬監控、網站篡改監控于一體的免費檢測平臺，擁有全面的網站漏洞庫及蜜罐集群檢測系統，能夠第一時間協助網站檢測修復漏洞。2011年，360網站安全監測平臺曾協同360團購導航，為國內數百家主流團購網站提供了免費網站漏洞檢測服務並提供修復建議，提高了團購網站整體安全水平。