责任编辑:editor004 | 2016-01-21 11:56:11 本文摘自:cnBeta.COM
雅虎刚刚修复了一个可被攻击者用于劫持账户的邮箱漏洞,而此前,他们竟然可以在量身定制的邮件消息中嵌入恶意的JavaScript代码。该漏洞的可怕之处在于,即使用户只是阅读消息,代码也会被执行,然后攻击者就能够完全攻破受害者的账户、劫持设置,甚至在没有许可或不被察觉的情况下发送邮件。
这个bug在1月早些时候被修复,距离其通过HackerOne漏洞奖励计划被告知该安全问题后不久。
私下里向这家总部位于加州桑尼韦尔的公司披露详情的研究人员Jouko Pynn nen,被给予了1万美元的奖励。
Yahoo Mail stored XSS
Pynn nen表示,该漏洞在影响任何现实用户前就已被修复,问题在于雅虎是如何过滤邮件中的HTML格式的。
尽管该公司意欲借此阻止恶意代码被放入用户的收件箱,但该过滤器仍“漏过了个别恶意HTML代码格式”。
扫一扫
责任编辑:editor004 | 2016-01-21 11:56:11 本文摘自:cnBeta.COM
雅虎刚刚修复了一个可被攻击者用于劫持账户的邮箱漏洞,而此前,他们竟然可以在量身定制的邮件消息中嵌入恶意的JavaScript代码。该漏洞的可怕之处在于,即使用户只是阅读消息,代码也会被执行,然后攻击者就能够完全攻破受害者的账户、劫持设置,甚至在没有许可或不被察觉的情况下发送邮件。
这个bug在1月早些时候被修复,距离其通过HackerOne漏洞奖励计划被告知该安全问题后不久。
私下里向这家总部位于加州桑尼韦尔的公司披露详情的研究人员Jouko Pynn nen,被给予了1万美元的奖励。
Yahoo Mail stored XSS
Pynn nen表示,该漏洞在影响任何现实用户前就已被修复,问题在于雅虎是如何过滤邮件中的HTML格式的。
尽管该公司意欲借此阻止恶意代码被放入用户的收件箱,但该过滤器仍“漏过了个别恶意HTML代码格式”。
京公网安备 11010502049343号