摘要: 昨天,黑客 Shahin Ramezany 上传了一段视频,演示如何利用所有主流浏览器的 XSS 漏洞入侵雅虎邮箱:用户打开邮件,点击带有恶意代码的链接,然后黑客在后台修改浏览器的 Cookies,就可以完全入侵用户的邮箱。不久之后,雅虎发表声明,确认漏洞...
昨天,黑客 Shahin Ramezany 上传了一段视频,演示如何利用所有主流浏览器的 XSS 漏洞入侵雅虎邮箱:
用户打开邮件,点击带有恶意代码的链接,然后黑客在后台修改浏览器的 Cookies,就可以完全入侵用户的邮箱。不久之后,雅虎发表声明,确认漏洞存在,并且已进行修复。
而一家信息安全培训和测试的公司 Offensive Security 今天发布的相关的测试结果,发现雅虎邮箱的 DOM类型XSS 0Day 漏洞依然存在。虽然邮箱已经升级,但是依然能利用原来的漏洞入侵帐号。
游侠简评:
此类漏洞不仅仅是Yahoo!邮箱,国内一些也往往有……以前曾经有圈内某友测试这个漏洞,给我写了一封邮件,结果各种机缘巧合……不但没有套走Cookie,还成功让我捕获漏洞……嘿嘿。当然,绝大多数时候,没有这么幸运……并且,很多时候,一封伪装得恰到好处的钓鱼邮件,能在很大程度上获取被攻击者的信息。
还有一句话:雅虎即使不是漏洞最多的邮件服务商,也属于那一行列。
友情提醒:来源不明的邮件不要看……好奇害死猫。
