360网站安全检测平台（360网站安全检测）

大家好，雨雨来为大家解答以上问题，360网站安全检测平台，360网站安全检测很多人还不知道，现在让我们一起来看看吧！

2011年3月5日，根据2011年10月曝光的“UCenter多点登录界面UC-key漏洞”，360网站安全检测平台公布的抽样调查数据显示，使用UCenter一站式登录界面的网站中，约有42%的网站尚未修复该漏洞，该漏洞可能被黑客轻易登录，并完全控制他人账号网站安全，主要影响社交、返利、团购等网站。建议相关网站参考360网站安全检测平台提供的修复漏洞的方案。

360网站安全检测平台(点击访问官网)

UCenter是一个开放的“以用户为中心”的程序，被广泛使用。建站者经过简单的修改，就可以挂接其他第三方应用，实现用户的一站式注册、登录、退出以及社区内其他数据的交互。比如有些购物网站支持用户用QQ、微博等账号登录，就是UCenter一站式登录界面的应用。

360网站安全检测指出，“UC-key漏洞”并不是UCenter本身的漏洞，而是UCenter向第三方开放时，整合UCenter后第三方接入提供商的建站程序配置不当，由于没有设置“UC_KEY”的值，存在安全隐患。虽然在一些建站程序中设置了“UC_KEY”，但是任何人都可以通过程序源代码获取该值，使得UCenter的加密信息透明化，黑客可以随意构造和控制用户。

利用“UC-key漏洞”，黑客可以在一些购物网站上不用密码登录他人账户，查看账户的消费记录，篡改密码，甚至操作他人账户进行交易。目前，“UC-key漏洞”的攻击方式已经在黑客论坛中广泛传播，对大量网站用户的账号安全构成严重威胁。

图：360解析“UCenter多点登录界面UC-key漏洞”代码

为此，360网站安全检测平台特别发布了“UC-key漏洞”修复方案，供相关网站参考：

1.如果网站没有采用UCenter一站式登录功能，建议从建站程序中删除或限制访问uc_client相关api文件；

2.如果不想删除文件或者限制访问，可以为“UC_KEY”设置一个难以猜测的值，比如：define('UC_KEY '，' ee 63576 e 535511 eeb 391 ECA 2007167 e 7 ')；(根据实际情况，不同的程序会有不同的定义)；

3.如果不确定是否会使用UCenter接口或者是否定义了UC_KEY，可以在找到接口文件中解码函数的位置之前检查一下，例如：

已定义(' UC_KEY ')？null : die(“拒绝访问”)；

parse _ str(UC _ API _ x _ authcode($ code，' DECODE '，UC_KEY)，$ get)；//在UC接口使用UC_KEY做解码处理之前

4.建议集成UCenter的建站程序开发者在安装步骤中引导用户设置“UC_KEY”或提醒用户关闭该功能。

本文讲解到此结束，希望对大家有所帮助。

（编辑：云计算网_宿迁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!