玩家需小心！互聯(lián)網(wǎng)最大規(guī)模帳號劫持漏洞將引爆

　　國內(nèi)知名站點站長之家記者與近日從國內(nèi)資深互聯(lián)網(wǎng)應(yīng)用安全提供商知道創(chuàng)宇安全研究團(tuán)隊處得悉，目前有一項嚴(yán)重危害用戶隱私的漏洞剛剛被發(fā)現(xiàn)，包括旅游、招聘、娛樂、SNS交友、各大電商等各類網(wǎng)站均會被影響，國內(nèi)使用第三方登錄機制的網(wǎng)站中普遍存在此漏洞。

　　由于此類攻擊不受同源策略等瀏覽器的安全限制，且不易被目標(biāo)發(fā)現(xiàn)，因此危害嚴(yán)重。一旦被利用，用戶的帳號會被永久劫持，賬戶信息會被任意瀏覽和改動。

　　由于之前出現(xiàn)過關(guān)聯(lián)類漏洞，疑似已經(jīng)有攻擊者開始利用這個漏洞進(jìn)行實際攻擊，請廣大網(wǎng)民確認(rèn)自身賬號信息是否已遭惡意劫持，及時采取措施保護(hù)自身賬號。

　　經(jīng)確認(rèn)，此漏洞是由于開發(fā)人員沒有正確按照OAuth2授權(quán)機制的開發(fā)文檔使用OAuth2，導(dǎo)致攻擊者能夠?qū)嵤┛缯菊埱髠卧?CSRF)通過第三方網(wǎng)站來劫持用戶在目標(biāo)網(wǎng)站的賬戶。

　　劫持流程：

　　虛擬測試：