安全公司发现雅虎邮箱DOM XSS 0Day漏洞没有修复

楼主^#

更多发布于：2013-01-09 15:44


	而一家信息安全培训和测试的公司 Offensive Security 今天发布的相关的测试结果，发现雅虎邮箱的 DOM XSS 0Day 漏洞依然存在。虽然邮箱已经升级，但是依然能利用原来的漏洞入侵帐号。 1 月 8 日，雅虎邮箱被曝出漏洞，只需要点击邮件里的恶意链接，邮箱就会被黑客侵占。雅虎在不久后表示漏洞已经修复，但是就今天据 TNW的消息，问题并没有得到解决。昨天，黑客 Shahin Ramezany 上传了一段 Youtube 视频，演示如何利用所有主流浏览器的 XSS漏洞入侵雅虎邮箱：用户打开邮件，点击带有恶意代码的链接，然后黑客在后台修改浏览器的Cookies，就可以完全入侵用户的邮箱。不久之后，雅虎发表声明，确认漏洞存在，并且已进行修复。图片：20130109033111591.jpg 而一家信息安全培训和测试的公司Offensive Security 今天发布的相关的测试结果，发现雅虎邮箱的 DOM XSS 0Day漏洞依然存在。虽然邮箱已经升级，但是依然能利用原来的漏洞入侵帐号。看来，雅虎还有更多的工作要做了