雅虎漏洞允许黑客阅读任何人的电子邮件

来自安全公司Klikki Oy的芬兰安全研究员Jouko Pynnönen报告说基于DOM的持久XSS（跨站点脚本）在Yahoo mail中，如果被利用，攻击者可以发送嵌入恶意代码的电子邮件。

在今天发表的博文中，研究人员演示了恶意攻击者如何将受害者的收件箱发送到外部网站，并通过在邮件签名中秘密添加恶意脚本，创建了一种病毒，将其自身附着到所有发送的电子邮件中。

由于恶意代码位于邮件正文中，一旦受害者打开装有诱杀装置的电子邮件，该代码就会被执行，其隐藏的有效负载脚本会将受害者的收件箱内容秘密提交给攻击者控制的外部网站。
这个问题是因为Yahoo Mail未能正确过滤HTML电子邮件中潜在的恶意代码。

Pynnönen在他的博客文章中说：“可以嵌入一些通过雅虎HTML过滤器并经过特殊处理的HTML属性”。

Pynnönen说，他通过强制输入所有已知的HTML标记和属性，以过滤雅虎用来清除恶意HTML，但某些恶意HTML代码设法通过的过滤器，发现了该漏洞。

Pynnönen说：“作为概念证明，我为雅虎安全提供了一封电子邮件，在查看时，它将使用AJAX读取用户的收件箱内容，并将其发送到攻击者的服务器”。

Pynnönen通过其HackerOne bug悬赏计划私下向雅虎披露了该漏洞，并获得了1万美元的悬赏。

Pynnönen报告称，雅虎的网络版也存在类似漏洞！今年早些时候，他获得了1万美元的邮政服务。2015年12月，他还向雅虎报告了Flickr中存储的XSS漏洞，为此他赚了500美元。