雅虎修复邮箱漏洞，研究人员获得一万美元奖金

目前雅虎修复了一个可被攻击者用于劫持用户邮箱的漏洞。

该漏洞危害较重

根据最新消息称雅虎已经修复该XSS漏洞，早前恶意攻击者可以利用该漏洞发送恶意邮件，然后就可以获取目标账户的资料以及信息。对于XSS跨站脚本攻击而言，可以通过来自于用户提交的文本信息来将恶意代码嵌入到可用于其他用户访问的Web网页中，而网站平台本身并没有对提交的文本信息进行过滤或者校验，从而被用户浏览器执行，导致XSS攻击。

在此过程中，恶意代码与所有其他代码在页面上以相同级别的权限运行，这意味着攻击者可以通过它来获取用户的敏感信息，或者攻击用户个人的浏览器及计算机。值得注意的是邮件消息中可以嵌入恶意的JavaScript代码。该漏洞的可怕之处在于，即使用户只是打开邮件阅读消息，代码也会被执行，然后攻击者就能够完全攻破受害者的账户、劫持设置，甚至在没有许可或不被察觉的情况下发送邮件。

该漏洞是由信息安全专家Pynnönen发现，同时Pynnönen表示：

“恶意攻击者可以利用该XSS漏洞获取目标账户的权限，然后转发或直接发送未经用户同意的电子邮件。”

漏洞已经修复

邮箱中HTML标签通常被用来改变邮件的模板以及风格，同时允许用户增粗字体、插入图片、插入视频等等。Pynnönen当时为了观察雅虎是如何处理邮件中每个HTML标签，Pynnönen在邮件中添加了不同属性的标签，然后发送给自己，目的是为了观察雅虎都过滤掉了哪些，还有就是剩下哪些。他利用这个HTML标签“< TAG_NAME attribute="value1 value2" / >”，并将里面的value2替换成恶意程序代码，另外值得注意的是value1与value2之间是有空格的。后来为了证明该问题，他制作了一个视频，可以在下面观看。

另外值得注意的是这个bug在1月早些时候被修复，距离其通过HackerOne漏洞奖励计划被告知该安全问题后不久。并最终向这家总部位于加州桑尼韦尔的公司披露详情的研究人员Jouko Pynnönen，被给予了1万美元（约合9200欧元）的奖励。

雅虎表示这个漏洞还没有被实际使用过，同时在2016年1月6日已经修复了该问题。

漏洞演示视频