360提醒部分網際網路站修復"登錄漏洞"

2024-11-17 16:32:10

    1月5日，360安全中心發布安全警報稱，目前有少量網際網路站存在「登錄漏洞」，會導致其用戶的帳號和密碼在登錄網站時洩露在網址中，存在一定安全風險。360安全專家石曉虹博士表示，這些網站的「登錄漏洞」是因為採用了Http Get的方式在用戶登錄時進行身份驗證，只要關閉這項登錄方式，改用安全性更高的Http Post方式，就能修復網站的「登錄漏洞」。

    石曉虹博士打了個比方說：網站存在「登錄漏洞」，就相當於一個人把銀行卡號、密碼以及開戶銀行都記在一張紙條上。這是一種極不合理的保密方式，如果整張紙條丟了，就會使自己的財產面臨失竊的危險。不過經360安全中心驗證，目前存在「登錄漏洞」的網站數量並不多，主要是一些安全機制不嚴格的網站，並不涉及網上銀行、網上支付、網遊等重要帳號。

    有網友評論認為，此前金山毒霸和360就「是否洩露用戶隱私」爆發口水戰，就是個別網站的「登錄漏洞」惹了禍。對此石曉虹博士解釋道：「為了找到木馬攻擊源頭，360和其他國內外安全廠商普遍採用了『掛馬網頁觸發可疑網址上傳』機制，即在用戶受到掛馬網頁攻擊時，會把當前所有未關閉網頁的URL網址上傳到日誌伺服器上進行驗證，以便把其加入惡意網址庫。如果此時用戶恰好訪問了存在『登錄漏洞』的網站，就有可能把洩露了用戶名和密碼的網址一併上傳，造成安全隱患。」

    石曉虹博士進一步表示：「360並沒有洩露用戶隱私，只是雲安全、雲計算這項全新的技術體系有可能把個別『登錄漏洞』網站洩露的用戶隱私採集。如果想從根本上杜絕這個情況，不僅安全廠商應該注意妥善處理用戶信息，網際網路站也需要積極修復漏洞。」

    據介紹，360安全中心已率先針對網站「登錄漏洞」採取了應對措施：當用戶訪問存在「登錄漏洞」的網站時，即便遇到未知掛馬網頁攻擊，360網盾也不再進行樣本上傳；此外，360網盾未來還將發布一項可以檢測網站「登錄漏洞」的功能，當用戶打開此類網站後第一時間進行安全提示，最大限度地保護好用戶隱私。■