國內(nèi)知名站點(diǎn)站長之家記者與近日從國內(nèi)資深互聯(lián)網(wǎng)應(yīng)用安全提供商知道創(chuàng)宇安全研究團(tuán)隊(duì)處得悉，目前有一項(xiàng)嚴(yán)重危害用戶隱私的漏洞剛剛被發(fā)現(xiàn)，包括旅游、招聘、娛樂、SNS交友、各大電商等各類網(wǎng)站均會(huì)被影響，國內(nèi)使用第三方登錄機(jī)制的網(wǎng)站中普遍存在此漏洞。

　　由于此類攻擊不受同源策略等瀏覽器的安全限制，且不易被目標(biāo)發(fā)現(xiàn)，因此危害嚴(yán)重。一旦被利用，用戶的帳號(hào)會(huì)被永久劫持，賬戶信息會(huì)被任意瀏覽和改動(dòng)。

　　由于之前出現(xiàn)過關(guān)聯(lián)類漏洞，疑似已經(jīng)有攻擊者開始利用這個(gè)漏洞進(jìn)行實(shí)際攻擊，請(qǐng)廣大網(wǎng)民確認(rèn)自身賬號(hào)信息是否已遭惡意劫持，及時(shí)采取措施保護(hù)自身賬號(hào)。

　　經(jīng)確認(rèn)，此漏洞是由于開發(fā)人員沒有正確按照OAuth2授權(quán)機(jī)制的開發(fā)文檔使用OAuth2，導(dǎo)致攻擊者能夠?qū)嵤┛缯菊?qǐng)求偽造(CSRF)通過第三方網(wǎng)站來劫持用戶在目標(biāo)網(wǎng)站的賬戶。

　　劫持流程：

　　虛擬測(cè)試：