新发现Yahoo邮箱存在XSS漏洞,4千万邮箱用户面临威胁

2013-01-09 95563人围观 ,发现 2 个不明物体 资讯

美国时间1月6日,Youtube上出现一个名为Yahoo Mail Hacking 2013的视频,展示了利用XSS漏洞,获取受害人Yahoo邮箱的权限。视频是abysssec.com网站研究人员Shahin Ramezany发布的,Shahin Ramezany称发现了Yahoo邮箱存在DOM XSS漏洞,影响目前所有浏览器,用户点击了恶意构造的链接,攻击者就可以盗取到相关cookies信息,进而控制了受害人邮箱。


视频显示,Ramezany在Chrome上使用攻击者帐号发送一封带有恶意链接的邮件给受害者,为显示独立性,受害者使用IE10浏览器登录yahoo邮箱,收取邮件,点击了该恶意链接,随后,即在攻击者设定的网站看到了受害者的cookies信息了。由于该恶意链接打开的页面一打开即被最小化了,因此并不清楚恶意链接被打开后发生了什么。具体详见youtube视频
之后星期一也即1月7日,yahoo表示已经修复了该漏洞,但是星期二1月8日Offensive Security公司发现漏洞依然存在,表示经过Ramezany对原始PoC代码的少量修改,仍然可以利用该漏洞攻击yahoo邮箱用户。并且在2013.1.8日美国东部时间10:23 AM再次放出了一段漏洞利用的证明视频

这段视频显示攻击者在Backtrack平台里的firefox发起攻击,模拟受害者使用windows平台下IE打开邮件内的恶意链接,这次显示恶意链接最终导向至yahoo主页。但实际上Backtrack下已经截获了受害者的cookies信息,攻击者提取cookies中的Y变量及T变量信息,即可获得受害者身份的邮箱。

发表评论

已有 2 条评论

取消
Loading...
css.php