雅虎又爆XSS跨站脚本攻击漏洞 问题出在邮箱处理Youtube视频链接

  1. 云栖社区>
  2. 安全加>
  3. 博客>
  4. 正文

雅虎又爆XSS跨站脚本攻击漏洞 问题出在邮箱处理Youtube视频链接

晚来风急 2017-09-01 10:30:00 浏览1032
展开阅读全文

芬兰安全研究人员Jouko Pynnonen第二次拿到雅虎1万美元奖金,这次是发现了一个全新的雅虎邮箱存储型跨站脚本漏洞。不到一年前,Pynnonen私下披露了雅虎邮箱的一个存储型跨站脚本(Stored XSS)漏洞,获得雅虎HackerOne计划颁发的10000美元奖金。

雅虎在11月29日(Pynnonen报告漏洞17天之后)修复了该漏洞。这个漏洞给用户带来的风险与2015年漏洞一样。也就是说,攻击者可以利用这个漏洞来读取受害人的电子邮件、在受害人电脑植入恶意软件或者利用其它漏洞。同时,受害人只要浏览攻击者发来的邮件就会中招。据Pynnonen说,完全不需要其他交互。

Pynnonen在邮件中说:“基本上,通过编造一封特殊格式的电子邮件,攻击者可以嵌入JavaScript。受害人通过雅虎邮箱浏览该邮件时,脚本就会在受害人浏览器中执

网友评论

登录后评论
0/500
评论
晚来风急
+ 关注
所属云栖号: 安全加