Yahoo Mail 中的神秘 XSS 漏洞为研究员赢得1万美元

Posted 2021-04-29 代码卫士

 聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

一名研究员在 Yahoo Mail 中再次发现一个严重的跨站脚本漏洞 (XSS)。该漏洞于近期已被修复，本可被用于窃取目标用户的邮件并在用户发出的信息中附加恶意代码。目前，雅虎公司的母公司 Oath 不允许研究员公开详情。

芬兰软件公司 Klikki Oy 的研究员 Jouko Pynnönen 曾在2015年12月在 Yahoo Mail 中发现了首个存储型 XSS 漏洞。该漏洞为他获得1万美元的奖金，可被攻击者用于发现含有隐藏的 javascript 代码的邮件，只要被受害者阅读即可执行。

攻击者本可利用该漏洞静默地将受害者邮件发送给外部网站，更改受攻陷的雅虎账户的设置并创建邮件病毒附加到所有发送邮件的签名中。该漏洞产生的原因是未能适当地过滤掉 html 邮件中的潜在恶意代码。

差不多一年后，Pynnönen在 Yahoo Mail 中再次发现了一个存储型 XSS 漏洞。该漏洞能产生同样的影响，也为他赢得1万美元的奖励，但当附加某种类型的内容时，涉及在邮件中插入代码的操作。

Pynnönen 表示，他在2018年12月初发现了另外一个存储型 XSS 漏洞。但雅虎和其它主要媒体品牌的所有者 Oath 在1月份解决了该问题并颁发给他1万美元的奖励。

Pynnönen 表示，第二个漏洞和第一个漏洞类似，可允许攻击者通过诱骗受害者打开特殊构造邮件的方式，窃取用户的收件箱或在邮件账户中执行其它操作。

虽然 Oath 不允许 Pynnönen 公开技术详情，不过他表示利用代码涉及基础的 HTML 过滤，就像第一个漏洞那样，而并未涉及附件。

Oath 公司在2018年12月表示，已通过由 HackerOne 平台举办的漏洞奖励计划在2018年共支付500万美元的赏金。白帽黑客共提交1900份有效的漏洞报告，包括已被评估为“严重”或“高危”的300个缺陷。该公司在旧金山举办的为期1天的黑客活动中共颁发了40万美元的奖励，当时来自11个国家的41名黑客公布了研究成果。

推荐阅读

原文链接

https://www.securityweek.com/researcher-earns-10000-another-xss-flaw-yahoo-mail

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士 www.codesafe.cn”。