转载

雅虎邮箱公布修复XSS攻击漏洞(含XSS漏洞测试视频)

近日,就在雅虎还在考虑是否分拆阿里巴巴股份,甚至在考虑出售雅虎的核心业务,包括雅虎邮箱、体育网站和广告技术的时候,雅虎邮箱宣布目前已经修复此前被发现但未公布的一个高危漏洞,该漏洞可导致数亿雅虎邮箱用户遭受恶意邮件的攻击。

更为严重的是,利用该漏洞,攻击者发送恶意邮件并不需要用户查阅,恶意邮件只要存在用户收件箱中,恶意代码便会被执行。

雅虎邮箱XSS漏洞的发现

该漏洞被雅虎在11月21号修复。这个时间是该漏洞被渗透测试人员 Ibrahim Raafat发现的十天之后。Raafat发现雅虎邮箱的移动终端访问页面出现漏洞,容易遭受XSS 攻击。

我们知道,对于XSS跨站脚本攻击而言,可以通过来自于用户提交的文本信息(如博客评论或论坛帖子)来将恶意代码嵌入到可用于其他用户访问的Web网页中,而网站平台本身并没有对提交的文本信息进行过滤或者校验,从而被用户浏览器执行,导致XSS攻击。在此过程中,恶意代码与所有其他代码在页面上以相同级别的权限运行,这意味着攻击者可以通过它来获取用户的敏感信息,或者攻击用户个人的浏览器及计算机。

最初 Ibrahim Raafat便是发现雅虎邮件的移动版本,人们用于阅读邮件的网页,并没有对来自邮件的内容进行过滤或者校验,而是直接执行用户接收到的邮件内容,从而可导致XSS 攻击。

雅虎邮箱XSS测试

他所做的就是用一小段测试代码写了一封邮件,然后发送给一个测试的雅虎邮箱。而在此测试中,当这封邮件出现在雅虎邮箱的收件箱中,Raafat也同时发现收件人的浏览器便会在不知不觉中运行它(恶意邮件内容)。更糟糕的是,从测试中来看,甚至用不着受害者查看邮件–恶意邮件只要出现在收件箱中,便能被运行。

下面的视频展示了,Raafat通过HTML DOM prompt() 方法对雅虎邮箱进行测试,

雅虎邮箱目前拥有数亿的用户,所以影响如此之广泛的漏洞,无论被利用开展何种攻击,结果注定是严重的。而万幸的是,该漏洞目前被修复了,而Rafaat也获得来自雅虎的感谢以及一笔不菲的赏金。

*参考来源: nakedsecurity ,FB小编troy编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...