2018年第3期网络病毒监测

2018年1月21日，国家信息安全漏洞共享平台（CNVD）接收了OAuth2.0存在第三方帐号快捷登录授权劫持漏洞（CNVD-C-2018-06621）。综合利用上述漏洞，攻击者可通过登录受害者账号，获取存储在第三方移动应用上的敏感信息。由于OAuth广泛应用于微博等社交网络服务，漏洞一旦被黑客组织利用，可能导致用户隐私信息泄露。

漏洞修复建议

CNVD建议第三方应用平台采取如下措施进行漏洞的防范，同时请广大用户注意第三方授权链接，谨慎输入账号密码：

1.在注册第三方授权时，redirect_uri需要限制到指定网站的指定目录，比如redirect_uri注册为passport.aaa.com/oauth/，而非aaa.com或者passport.aaa.com。

2. 禁止非源跳转。通过增加网站跳转的判断条件，禁止对非本网站的链接进行跳转。