美國雅虎信箱被踢爆具有 XSS 漏洞 (2013年版本，含影片示範)

z24374203

主題：美國雅虎信箱被踢爆具有 XSS 漏洞 (2013年版本，含影片示範)

說明：
引用國外媒體報導：
http://threatpost.com/en_us/blogs/yahoo-mail-xss-vulnerability-could-affect-millions-accounts-010713

由於無法了解台灣的雅虎奇摩信箱其運轉機制是否與美國雅虎相同，無法判斷是否會產生相同的 XSS 漏洞，僅能呼籲使用者留意"網頁信箱的郵件社交工程"手法，來防止自己被盜用信箱帳號！

技術說明：
1.原影片示範者採用 IE10 與 Chrome 不同瀏覽器來示範寄件者與收件者的角色，並搭配造一個會記錄點選網址紀錄(URL cookie)的網頁來驗證過程。

2.使用 Burp Suite 這套web 漏洞檢測工具來剛剛取得的 HTTP requests 並修改。

3.完成後使用 Chrome 瀏覽器的寄件者就可以登入使用 IE10 的收件者信箱。

註：由於原示範者使用2種不同瀏覽器，容易誤會是不是瀏覽器本身的問題。但我不認為這是瀏覽器本身的漏洞所造成，而應該是 Webmail 的網頁應用程式與傳輸機制不夠嚴謹的問題。

From
https://www.facebook.com/netwargame

divale

四處都有漏洞
尤其網頁程式往往有些不為人知，未被發掘的漏洞
使用者要自求多福，儘量少用不必要的系統

userman

使用網路要小心再小心
避免個資外洩
裝防毒軟體和防火牆是必要的