玩家需小心！互聯(lián)網(wǎng)最大規(guī)模帳號(hào)劫持漏洞將引爆

　　受到OAuth2 CSRF漏洞影響的部分網(wǎng)站列表(測(cè)試后)：

　　安全廠商：360網(wǎng)站 360瀏覽器 …

　　IT媒體：CSDN 中關(guān)村在線 …

　　團(tuán)購(gòu)：糯米團(tuán)購(gòu) …

　　資訊：果殼 …

　　購(gòu)物分享：蘑菇街 …

　　電商：聚美優(yōu)品 …

　　視頻：優(yōu)酷 樂視網(wǎng) CNTV …

　　招聘：大街 …

　　婚介：百合網(wǎng) …

　　輕博客：點(diǎn)點(diǎn) …

　　SNS ：開心網(wǎng) …

　　隊(duì)對(duì)于OAuth2 CSRF漏洞防御的建議如下：

　　1)對(duì)于開發(fā)人員：

　　1，授權(quán)過(guò)程中傳遞state隨機(jī)哈希值，并在服務(wù)端進(jìn)行判斷。

　　2，在綁定過(guò)程中，應(yīng)強(qiáng)制用戶重新輸入用戶名密碼確認(rèn)綁定，不要直接讀取當(dāng)前用戶session進(jìn)行綁定。

　　3，限制帶有Authorization code參數(shù)的請(qǐng)求僅能使用一次(避免重放攻擊)。

　　4，推薦使用Authorization Code方式進(jìn)行授權(quán)，而不要使用Implicit Flow方式。這樣access token會(huì)從授權(quán)服務(wù)器以響應(yīng)體的形式返回而不會(huì)暴露在客戶端。

　　2)對(duì)于普通用戶：

　　定期查看重要網(wǎng)站的第三方帳號(hào)綁定頁(yè)面，檢查是否有陌生的其他帳號(hào)綁定到自身賬戶，如果發(fā)現(xiàn)應(yīng)立即取消綁定或授權(quán)。