今天下午的时候，知名安全厂商知道创宇安全团队发布了《互联网最大规模帐号劫持漏洞即将引爆》 ，但是，经过对文章的分析，不得不说是个标题党了，不少人会误会微博帐号或者QQ帐号被劫持。实际上则不然。这是一次基于OAuth2.0的用户接口授权利用。 由于此类攻击不受同源策略等浏览器的安全限制，且不易被目标发现，因此危害严重。一旦被利用，用户的帐号会被永久劫持，账户信息会被任意浏览和改动。 那么如何防范呢？当然是针对你的账户进行不必要的应用授权进行取消，来到达安全的目的！ 那么你怎么知道你QQ登录过那些网站，进行过哪些授权呢？这也是本文的重点：以QQ为例

1、登录QQ PC客户端，在QQ主面板上点击界面顶部的QQ空间图标进入QQ空间，进入QQ空间后在页面顶部的导航栏处点击设置图标，然后点击“空间设置”。如下图:左下角图标（五角星）

2、进入空间之后：在空间右上角，找到一个小齿轮图标（如下图），选择空间设置。

3、找到左侧导航栏的（QQ登录）

4、就能看到你对那些网站、应用授权过了： 5、针对你想取消的授权，点击取消即可。

取消完授权之后：你的帐号就会限制没有登录过任何网站了

以上是QQ的授权方法，新浪微博的取消授权方法如下：在你微博的导航栏上找到:应用

点击进去我的应用：然后就能针对不同的应用进行取消授权了。

取消授权总是有利有弊的，还是自己把握好个度。

并非所有应用都不安全，也并非所有应用都安全。这个问题我想应该大家都明白。

PS:好像很多人把这个问题想严重了，事实上站在用户的角度上来看，只要控制好授权即可了。别的，不需要太过操心。

如果你想了解本次事件真相，而且又有一定的编程基础，还可以参考《小议OAuth 2.0的state参数——从开发角度也说《互联网最大规模帐号劫持漏洞即将引爆》》

本文来源：梧桐雨软件园原创，转载请注明链接！