雅虎郵箱存儲型XSS漏洞，黑客能看任何人的郵件

新聞 12-13

最近來自芬蘭Klikki Oy的研究員Jouko Pynn?nen發表了一篇博客，其中演示了惡意攻擊者如何利用XSS漏洞攻下雅虎郵箱，將受害者收件箱中的郵件發到外部站點；以及構建病毒，這個病毒可以通過向郵件簽名中添加惡意腳本，附加在所有傳出的電子郵件中。

由於惡意代碼就位於郵件消息的正文中，代碼會在受害者打開郵件時立即執行，不需要其他交互過程。所有問題的癥結實際上在於雅虎郵箱無法正確過濾HTML郵件中潛在的惡意代碼。

以下是對這名研究人員博客文章的內容編譯：

發現歷程

離去年給雅虎挖洞也快一周年了，這個時間點我也打算再來一發。一開始我覺得基本的HTML過濾應該不會再有漏洞了，但在最近寫郵件的時候，我發現了很多添加附件的選項，這些選項我去年倒是沒有太注意。

然後我寫了一封郵件，裡面包含各種附件，並發到某外部郵箱，這樣我就可以檢查郵件的HTML源碼了。

雅虎郵箱提供了一項功能，可以從雲服務中分享文件。在郵件中進行分享之後，文件不會附在郵件的附件中，而是會使用HTML代碼插入一個鏈接，比如Google文檔/Dropbox的鏈接。

在此，data-* HTML屬性吸引了我的注意。首先是因為我去年窮舉了一些雅虎郵箱過濾所允許的HTML屬性，但是沒有能夠窮舉出全部屬性。

第二，由於data-*屬性存儲的為Javascript所用的特定應用數據，所以這可能是個不錯的攻擊切入點。也就是說，可以在郵件中嵌入一些HTML屬性繞過雅虎郵箱的過濾。

為了進一步了解data-*屬性，我使用Chrome的開發者工具進入源碼標籤，尋找JavaScript文件中引用的data-url屬性。

我發現YouTube的鏈接也會被雅虎郵箱「優化」，如果你在郵件中輸入Youtube的視頻鏈接，雅虎郵箱就會自動幫你生成一個「鏈接加強卡片」，如下圖所示，卡片中會包含一些data-*屬性。

當用戶打開包含這類「卡片」的郵件，雅虎就會通過嵌入視頻，視頻旁邊還會有一個分享按鈕，這些功能就是通過雅虎郵箱JS代碼的data-*屬性實現的。</P><P>接下來，我嘗試用data-*屬性構造郵件，漏洞有了！</P><P>如果我們在data-url這個值中插入引號，就會導致分享按鈕的HTML無法正確解析。</P> <p><center> <script src="/336-5.js"></script></center></p> <p><P>而只要URL指向的網站在雅虎的白名單中，比如指向Youtube，雅虎就不會再進行檢查或者編碼。data-url的值會被用來設置innerHTML div創建按鈕：</P><P>我進行的測試如下：</P><br /> <P><P><CODE><P>From: <attacker@attacker.com>Subject: helloTo: victim@yahoo.comMIME-Version: 1.0Content-type: text/html <div class="yahoo-link-enhancr-card" data-url="https://www.youtube.com/aaa"><img src=x onerror=alert(/xss/)><"> <div class="card-share-container"><a class="enhancr-play-btn"></a></div> </div> <p></P><br /></CODE></PRE></P><P>當我從雅虎郵箱打開郵件時，那段針對鏈接進行「優化」的JavaScript代碼會使用data-url屬性來渲染按鈕。而隱藏在屬性中的HTML片段也會隨之載入，我所添加的HTML代碼是一個包含onerror屬性的<IMG>，攻擊者的惡意代碼也就得以執行。</P><P><IMG style_="BOX-SIZING: border-box; BORDER-RIGHT-WIDTH: 0px; WIDTH: 100%; DISPLAY: inline; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; HEIGHT: auto; VERTICAL-ALIGN: middle; BORDER-LEFT-WIDTH: 0px" width=690 data-w="690" data-type="jpeg" src="http://img.ifuun.com/getimg.php?url=http://mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR38c2Jut7bCVf5GmKxibic08lYAhC1GnHKaUSY04dSOI8bDz7icxicMpBHVg9dicG9PHfN6xQibVcQWxIezA/0?wx_fmt=jpeg" data-ratio="0.572463768115942"></P><P>實際上，這個問題的癥結可以追溯到雅虎郵箱的一個函數：</P><br /> <P><P><CODE style_="BOX-SIZING: border-box" class="hljs javascript"><CODE><P>function generateButton(e,t) { var n=this,r;<br /> t.insert(["<button data-share-url="",e,"" class="",o,""><br /> <span class="icon icon-social"></span><br /> </button>"].join(""));<br /> r=t.one("."+o);<br /> n._attachButtonListeners(r);}</P></CODE></CODE></PRE></P><P>這個函數名稱為t.shareMenu.generateButton(r.cardUrl,s)，第一個參數就是郵件中嵌入的data-url屬性。</P><P>可以看到，底部HTML的部分就是直接把字元串拼接了起來，沒有做任何修改。</P><br /> <P>影響</P><P>此次發現的這個漏洞的影響跟去年的XSS漏洞實際上是一樣的。</P><P>為了證明漏洞的存在性，我給雅虎安全部門發了一封郵件，郵件打開時，會使用AJAX讀取用戶收件箱中的郵件內容，並把它發送到攻擊者的伺服器。</P><P><P>作者已經於11月12日通過HackerOne向雅虎安全提交了漏洞，11月29日雅虎提供了1萬美元的賞金。</P></P><P><P>*參考來源：</P><P>klikki</P><P>，本文作者：Sphinx，轉載請註明來自FreeBuf（FreeBuf.com）</P></P><P><IMG style_="WIDTH: 100%; HEIGHT: auto" data-w="600" data-type="jpeg" src="http://img.ifuun.com/getimg.php?url=http://mmbiz.qpic.cn/mmbiz/qq5rfBadR3ic8CiaI3jDNE1pjxMWoM1hibUOrQypt6TwLx2iaicDUk4fCkEVKrkPJ5ia00nc363FCB6SW6Gian7F80ibMQ/0?wx_fmt=jpeg" data-ratio="0.6466666666666666" data-s="300,640"><br /></P></div> <p>TAG:<a target=_blank href=/tag/></a> | <div class="hd"><em class="title">您可能感興趣</em></div> <p>※<a href="/a20175232385767/">ImageMagick再爆嚴重漏洞，可導致雅虎郵箱用戶郵件內容泄漏</a><br />※<a href="/a20177284215003/">有沒有想過郵箱里的廣告郵件，是 AI 寫給你的「私人訂製」</a><br />※<a href="/a2017834318893/">三星S7 Edge手機系統更新：可卸載S健康、電子郵箱應用</a><br />※<a href="/a20179225467426/">黑客郵箱暴庫破解如何避免個人信息泄露？</a><br />※<a href="/a201663127677/">能列印出郵件的郵箱可比玩具好玩多了</a><br />※<a href="/a20179215428395/">招蜂引蝶：蜜罐郵箱誘惑之郵件系統安全機制</a><br />※<a href="/a20171271047027/">可怕，黑客入侵律師郵箱，騙英國買房首付！這種騙局務必小心！</a><br />※<a href="/a20176283363295/">黑客郵箱被封：勒索病毒Petya受害者支付贖金也拿不迴文檔</a><br />※<a href="/a20176283366941/">德國封了黑客的電子郵箱黑客拿不到錢受害者也得不到解鎖密鑰</a><br />※<a href="/a20176283356041/">英國議會郵箱系統遭遇黑客攻擊，超過90人電子郵箱被入侵</a><br />※<a href="/a20176122896311/">郵箱里的人工智慧小管家</a><br />※<a href="/a20175272518088/">雅虎郵箱也「出血」了，雅虎選擇棄用ImageMagick</a><br />※<a href="/a20173171395800/">美國人用明信片「轟炸」特朗普，白宮郵箱已被攻佔</a><br />※<a href="/a20176253279444/">通過手機號、郵箱或者用戶名找回你註冊過哪些網站（一）</a><br />※<a href="/a2017622664360/">谷歌郵箱Gmail新增AI技術可解決釣魚郵件問題</a><br />※<a href="/a20173161385754/">俄羅斯網路攻擊美國機構又添新證：俄特工涉雅虎郵箱遭黑客入侵</a><br />※<a href="/a20176293415362/">短篇驚悚-路邊的老式郵箱筒</a><br />※<a href="/a2017251086637/">人設要崩！貝克漢姆郵箱被黑，而揭露出的內容，國外網友有點炸……</a><br />※<a href="/a20179225449037/">新增郵件雲 WPS郵箱5.0讓郵件飛起來</a></p> <script data-cfasync="false" type="text/javascript"> var addthis_config = {"data_track_clickback":true,"ui_atversion":300,"ignore_server_config":true}; var addthis_share = {}; </script>  <script data-cfasync="false" type="text/javascript"> var addthis_product = "wpp-5.3.3"; var wp_product_version = "wpp-5.3.3"; var wp_blog_version = "4.4.5"; var addthis_plugin_info = {"info_status":"enabled","cms_name":"WordPress","cms_version":"4.4.5","plugin_name":"Share Buttons by AddThis","plugin_version":"5.3.3","anonymous_profile_id":"wp-30eecd838dd84df46fc27f5b710d02de","plugin_mode":"WordPress","select_prefs":{"addthis_per_post_enabled":true,"addthis_above_enabled":true,"addthis_below_enabled":true,"addthis_sidebar_enabled":true,"addthis_mobile_toolbar_enabled":true,"addthis_above_showon_home":true,"addthis_above_showon_posts":true,"addthis_above_showon_pages":true,"addthis_above_showon_archives":true,"addthis_above_showon_categories":true,"addthis_above_showon_excerpts":true,"addthis_below_showon_home":true,"addthis_below_showon_posts":true,"addthis_below_showon_pages":true,"addthis_below_showon_archives":true,"addthis_below_showon_categories":true,"addthis_below_showon_excerpts":true,"addthis_sidebar_showon_home":true,"addthis_sidebar_showon_posts":true,"addthis_sidebar_showon_pages":true,"addthis_sidebar_showon_archives":true,"addthis_sidebar_showon_categories":true,"addthis_mobile_toolbar_showon_home":true,"addthis_mobile_toolbar_showon_posts":true,"addthis_mobile_toolbar_showon_pages":true,"addthis_mobile_toolbar_showon_archives":true,"addthis_mobile_toolbar_showon_categories":true,"sharing_enabled_on_post_via_metabox":true},"page_info":{"template":"posts","post_type":""}}; if (typeof(addthis_config) == "undefined") { var addthis_config = {"data_track_clickback":true,"ui_atversion":300,"ignore_server_config":true}; } if (typeof(addthis_share) == "undefined") { var addthis_share = {}; } if (typeof(addthis_layers) == "undefined") { var addthis_layers = {"share":{"theme":"transparent","position":"left","numPreferredServices":5,"mobile":false},"sharedock":{"counts":true,"position":"bottom","numPreferredServices":5}}; } </script> <script data-cfasync="false" type="text/javascript" src="//s7.addthis.com/js/300/addthis_widget.js#pubid=wp-30eecd838dd84df46fc27f5b710d02de " async="async" > </script> <script data-cfasync="false" type="text/javascript"> (function() { var at_interval = setInterval(function () { if(window.addthis) { clearInterval(at_interval); addthis.layers(addthis_layers); } },1000) }()); </script> <div class="addthis_toolbox addthis_default_style addthis_32x32_style" addthis:url='http://www.ifuun.com/a20161213748981/' addthis:title='雅虎郵箱存儲型XSS漏洞，黑客能看任何人的郵件'><a class="addthis_button_facebook"></a><a class="addthis_button_twitter"></a><a class="addthis_button_pinterest_share"></a><a class="addthis_button_google_plusone_share"></a><a class="addthis_button_compact"></a><a class="addthis_counter addthis_bubble_style"></a></div></div> <script src="/ce.js"></script> <div class="clear"></div> </div> </div> <div class="clear"></div> </div> </div> <div class="clear"></div> <div id="footer"> <div class="copyright"> <p> 全球趣味資訊 <a href="http://www.ifuun.com/"><strong> iFuun </strong></a>| <a target=_blank href="http://www.ifuun.com/category/latest/"> 最新</a> | <a target=_blank href="http://www.ifuun.com/daohang/index.html"> 總覽</a> <div style="display:none"><script type="text/javascript">var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_1257936736'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s95.cnzz.com/stat.php%3Fid%3D1257936736%26show%3Dpic1' type='text/javascript'%3E%3C/script%3E"));</script></div> <br /> </p> </div> </div> </div>  <div id="tbox"> <a target="_blank" id="fb" href="http://www.facebook.com/sharer.php?u=http://www.ifuun.com/a20161213748981/"></a> </div>  <script>  document.write("<sc"+"ript src='" +scJsHost +"statcounter.com/counter/counter.js'></"+"script>"); </script> <noscript><div class="statcounter"><a title="web analytics" href="https://statcounter.com/"><img class="statcounter" src="https://c.statcounter.com/10891594/0/d8e52e9b/1/" alt="web analytics" /></a></div></noscript>  <link rel='stylesheet' id='addthis_output-css' href='http://www.ifuun.com/wp-content/plugins/addthis/css/output.css?ver=4.4.5' type='text/css' media='all' /> <script type='text/javascript' src='http://www.ifuun.com/wp-content/themes/Qu/js/loostrive.js?ver=1.0'></script> <script type='text/javascript' src='http://www.ifuun.com/wp-includes/js/wp-embed.min.js?ver=4.4.5'></script>  </body></html>