黑客卖700美元利用劫持的雅虎电子邮件帐户

For sale sign, courtesy of Shutterstock黑客是卖700元的零日漏洞,可以让攻击者利用一个跨站点脚本(XSS)漏洞窃取Cookie,劫持账户雅虎邮箱。

黑客,谁去的手柄TheHell,建立了一个视频市场的漏洞,一个独特的地下网络犯罪Darkode市场。

在视频中,其安全博客作者布赖恩·克雷布斯复制和发布到YouTube上 ,TheHell演示了如何访问受害者的帐户。

首先,攻击者必须引诱受害者点击一个恶意链接。

根据视频,一旦受害者打开该链接,一个记录器记录他的饼干。受害者被重定向到雅虎邮箱页面。然后,攻击者可以重定向受害者的浏览会话的意愿。

的cookies记录器取代它偷走了饼干,视频要求,并允许攻击者在被劫持的雅虎电子邮件帐户登录。

黑客的推销承诺,该漏洞适用于所有的浏览器,并不需要攻击者能够绕过IE或Chrome浏览器的XSS过滤器,是一个讨价还价的价格:

“我卖雅虎存储XSS窃取雅虎电子邮件在所有浏览器的cookies和工程,而你并不需要绕过IE或Chrome浏览器的XSS过滤器,因为它做到这一点本身,因为它的存储XSS。左右的价格对于这样的攻击是$ 1,100 - 1500美元,而在这里我提供为700美元。只卖给值得信赖的人,因为我不希望它尽快进行修补!“

克雷布斯通知雅虎 ,告诉他,这是在回应的脆弱性。

修复的安全漏洞,很简单,雅虎表示,但发现它完全是另一回事。

不幸的是,视频了宝贵的一些提示,帮助雅虎找出yahoo.com URL触发这个漏洞,雅虎安全主任拉美西斯·马丁内斯告诉克雷布斯:

“修复很容易,最XSS修正通过简单的代码更改......一旦我们找出有问题的URL,我们可以有新的代码部署在几个小时内最多。”

希望你读到这篇文章的时候,这个安全漏洞会被固定。

XSS缺陷是广泛的,在开放Web应用安全项目( OWASP )列表的前10个应用程序安全风险。

Yahoo Xssed.com ,一个网站,XSS攻击的文章,有很多其他的例子XSS漏洞已经被发现在雅虎网页。

OWASP解释说,XSS缺陷发生时,应用程序不受信任的数据,并把它发送给浏览器没有正确地验证或编码。这个漏洞使攻击者在受害者的浏览器中执行脚本,然后劫持用户会话,污损网站,或将用户重定向到恶意网站。

,OWASP提供这种小抄如何防止XSS缺陷,以及其他资源如何为XSS漏洞检查代码和测试。

在用户端,为克雷布斯笔记,这是另一种善意的提醒谨慎行事,当它涉及到一下我们并不希望在邮件中的链接,或从用户,我们不知道。


,出售标志 ,礼貌Shutterstock的</ SUB