记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

雅虎邮箱存储型XSS漏洞,黑客能看任何人的邮件

最近来自芬兰Klikki Oy的研究员Jouko Pynnönen发表了一篇博客,其中演示了恶意攻击者如何利用XSS漏洞攻下雅虎邮箱,将受害者收件箱中的邮件发到外部站点;以及构建病毒,这个病毒可以通过向邮件签名中添加恶意脚本,附加在所有传出的电子邮件中。 由于恶意代码就位于邮件消息的正文中,代码会在受害者打开邮件时立即执行,不需要其他交互过程。所有问题的症结实际上在于雅虎邮箱无法正确过滤HTML邮件中潜在的恶意代码。 以下是对这名研究人员博客文章的内容编译: 发现历程 离去年给雅虎挖洞也快一周年了,这个时间点我也打算再来一发。一开始我觉得基本的HTML过滤应该不会再有漏洞了,但在最近写邮件的时候,我发现了很多添加附件的选项,这些选项我去年倒是没有太注意。然后我写了一封邮件,里面包含各种附件,并发到某外部邮箱,这
发布时间:2016-12-13 03:15 | 阅读:105507 | 评论:0 | 标签:WEB安全 漏洞 yahoo 雅虎邮箱 xss

Yahoo 邮箱存储型XSS

前言 Yahoo邮箱安全漏洞于上周修复。 该漏洞允许攻击者读取受害者的电子邮件或创建病毒感染雅虎邮件帐户。 攻击需要受害者查看攻击者发送的电子邮件,但无需进一步的互动(如:点击链接或打开附件)。 它如何被发现 据去年报道的Yahoo邮箱漏洞将近一周年,我(JP)决定换个角度看一下Yahoo邮箱还有什么问题。我觉得从基本的HTML标签过滤寻找突破口可能性不大。不过,我在邮件撰写视图中,我发现了许多我去年没有关注到的附件选项。我写了一封包含不同类型附件的邮件并将其发送到外部邮箱。这样我就可以查看这封“原始”的邮件都包含了什么。 例如,这里是“从云提供程序共享文件”选项。 这不会创建传统的电子邮件附件,但会将一些装饰性的HTML链接插入到Google文档或Dropbox中。 HTML的data- * 自定义数据
发布时间:2016-12-11 19:45 | 阅读:161930 | 评论:0 | 标签:Web安全 xss Yahoo Mail 存储型xss 雅虎邮箱

雅虎邮箱XSS漏洞细节分析

本月雅虎邮箱爆出了一个XSS漏洞,该漏洞允许代码嵌入特殊格式的电子邮件。在用户预览邮件时,不知不觉就会自动触发XSS。影响WEB邮箱的XSS漏洞 我们向雅虎提交了一个电子邮件的POC,它能直接把受害者的收件内容转发到外部的网站,并且顺带有蠕虫扩散的功能。不过让人庆幸的是,此漏洞在互联网上还没有发现之前已经被官方修复。这个漏洞影响了所有版本的雅虎WEB邮箱,但移动app并未受影响。据报道,雅虎邮箱是全国第二大电子邮件服务商,截止于2014年2月,它已拥有3亿客户。细节 首先,我们会发送一封带有所有已知HTML标签的邮件进行fuzz,看看雅虎邮箱有哪些标签没有过滤。观察过雅虎邮箱的测试结果后,我们注意到如果bool型的HTML属性赋予了值,过滤器会把它remove掉,但是等号会保留
发布时间:2016-01-29 20:30 | 阅读:624296 | 评论:0 | 标签:WEB安全 漏洞 雅虎邮箱 xss

雅虎邮箱公布修复XSS攻击漏洞(含XSS漏洞测试视频)

近日,就在雅虎还在考虑是否分拆阿里巴巴股份,甚至在考虑出售雅虎的核心业务,包括雅虎邮箱、体育网站和广告技术的时候,雅虎邮箱宣布目前已经修复此前被发现但未公布的一个高危漏洞,该漏洞可导致数亿雅虎邮箱用户遭受恶意邮件的攻击。更为严重的是,利用该漏洞,攻击者发送恶意邮件并不需要用户查阅,恶意邮件只要存在用户收件箱中,恶意代码便会被执行。雅虎邮箱XSS漏洞的发现该漏洞被雅虎在11月21号修复。这个时间是该漏洞被渗透测试人员 Ibrahim Raafat发现的十天之后。Raafat发现雅虎邮箱的移动终端访问页面出现漏洞,容易遭受XSS 攻击。我们知道,对于XSS跨站脚本攻击而言,可以通过来自于用户提交的文本信息(如博客评论或论坛帖子)来将恶意代码嵌入到可用于其他用户访问的Web网页中,而网站平台本身
发布时间:2015-12-11 18:05 | 阅读:132502 | 评论:0 | 标签:漏洞 视频 xss 雅虎邮箱

雅虎宣布邮件免口令登录 安全专家表示不服

雅虎近日宣布了一项新的免口令电子邮件系统,但安全专家对免密码的未来持怀疑态度。雅虎邮箱本月将迎来它的第18个生日,18年来这项邮箱服务每天都在以各种方式进步。上周,雅虎宣布其邮件服务又添新版本,承诺用户能以全新方式免口令安全登录邮箱。雅虎邮箱免口令登录的基础是一项该公司称之为“雅虎账户密钥”的技术。雅虎产品管理副总裁迪兰·凯西在轻博客Tumblr发表博文解释了账户密钥的运作:账号密钥利用了移动设备的推送通知为用户提供登录雅虎账户的便捷方式。“账户密钥以安全、优雅、易用的界面与登录过程无缝衔接,使登录过程就像轻触一个按钮那么简单。”凯西说,“这种登录方式还比传统密码登录更安全,因为一旦你激活了账户密钥,即使其他人知道了你的账户信息他们也不能登录进去。”但一些安全专家们却对雅虎承诺的这项免密码服务的未来表示了怀疑。
发布时间:2015-10-26 15:30 | 阅读:111061 | 评论:0 | 标签:动态 口令 雅虎邮箱

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云