雅虎郵箱存儲型XSS漏洞,黑客能看任何人的郵件
最近來自芬蘭Klikki Oy的研究員Jouko Pynn?nen發表了一篇博客,其中演示了惡意攻擊者如何利用XSS漏洞攻下雅虎郵箱,將受害者收件箱中的郵件發到外部站點;以及構建病毒,這個病毒可以通過向郵件簽名中添加惡意腳本,附加在所有傳出的電子郵件中。
由於惡意代碼就位於郵件消息的正文中,代碼會在受害者打開郵件時立即執行,不需要其他交互過程。所有問題的癥結實際上在於雅虎郵箱無法正確過濾HTML郵件中潛在的惡意代碼。
以下是對這名研究人員博客文章的內容編譯:
發現歷程
離去年給雅虎挖洞也快一周年了,這個時間點我也打算再來一發。一開始我覺得基本的HTML過濾應該不會再有漏洞了,但在最近寫郵件的時候,我發現了很多添加附件的選項,這些選項我去年倒是沒有太注意。
然後我寫了一封郵件,裡面包含各種附件,並發到某外部郵箱,這樣我就可以檢查郵件的HTML源碼了。
雅虎郵箱提供了一項功能,可以從雲服務中分享文件。在郵件中進行分享之後,文件不會附在郵件的附件中,而是會使用HTML代碼插入一個鏈接,比如Google文檔/Dropbox的鏈接。
在此,data-* HTML屬性吸引了我的注意。首先是因為我去年窮舉了一些雅虎郵箱過濾所允許的HTML屬性,但是沒有能夠窮舉出全部屬性。
第二,由於data-*屬性存儲的為Javascript所用的特定應用數據,所以這可能是個不錯的攻擊切入點。也就是說,可以在郵件中嵌入一些HTML屬性繞過雅虎郵箱的過濾。
為了進一步了解data-*屬性,我使用Chrome的開發者工具進入源碼標籤,尋找JavaScript文件中引用的data-url屬性。
我發現YouTube的鏈接也會被雅虎郵箱「優化」,如果你在郵件中輸入Youtube的視頻鏈接,雅虎郵箱就會自動幫你生成一個「鏈接加強卡片」,如下圖所示,卡片中會包含一些data-*屬性。
當用戶打開包含這類「卡片」的郵件,雅虎就會通過
接下來,我嘗試用data-*屬性構造郵件,漏洞有了!
如果我們在data-url這個值中插入引號,就會導致分享按鈕的HTML無法正確解析。
而只要URL指向的網站在雅虎的白名單中,比如指向Youtube,雅虎就不會再進行檢查或者編碼。data-url的值會被用來設置innerHTML div創建按鈕:
我進行的測試如下:
From:
當我從雅虎郵箱打開郵件時,那段針對鏈接進行「優化」的JavaScript代碼會使用data-url屬性來渲染按鈕。而隱藏在屬性中的HTML片段也會隨之載入,我所添加的HTML代碼是一個包含onerror屬性的,攻擊者的惡意代碼也就得以執行。
實際上,這個問題的癥結可以追溯到雅虎郵箱的一個函數:
function generateButton(e,t) { var n=this,r;
t.insert([""].join(""));
r=t.one("."+o);
n._attachButtonListeners(r);}
這個函數名稱為t.shareMenu.generateButton(r.cardUrl,s),第一個參數就是郵件中嵌入的data-url屬性。
可以看到,底部HTML的部分就是直接把字元串拼接了起來,沒有做任何修改。
影響
此次發現的這個漏洞的影響跟去年的XSS漏洞實際上是一樣的。
為了證明漏洞的存在性,我給雅虎安全部門發了一封郵件,郵件打開時,會使用AJAX讀取用戶收件箱中的郵件內容,並把它發送到攻擊者的伺服器。
作者已經於11月12日通過HackerOne向雅虎安全提交了漏洞,11月29日雅虎提供了1萬美元的賞金。
*參考來源:
klikki
,本文作者:Sphinx,轉載請註明來自FreeBuf(FreeBuf.com)
※ImageMagick再爆嚴重漏洞,可導致雅虎郵箱用戶郵件內容泄漏
※有沒有想過郵箱里的廣告郵件,是 AI 寫給你的「私人訂製」
※三星S7 Edge手機系統更新:可卸載S健康、電子郵箱應用
※黑客郵箱暴庫破解 如何避免個人信息泄露?
※能列印出郵件的郵箱可比玩具好玩多了
※招蜂引蝶:蜜罐郵箱誘惑之郵件系統安全機制
※可怕,黑客入侵律師郵箱,騙英國買房首付!這種騙局務必小心!
※黑客郵箱被封:勒索病毒Petya受害者支付贖金也拿不迴文檔
※德國封了黑客的電子郵箱 黑客拿不到錢受害者也得不到解鎖密鑰
※英國議會郵箱系統遭遇黑客攻擊,超過90人電子郵箱被入侵
※郵箱里的人工智慧小管家
※雅虎郵箱也「出血」了,雅虎選擇棄用ImageMagick
※美國人用明信片「轟炸」特朗普,白宮郵箱已被攻佔
※通過手機號、郵箱或者用戶名找回你註冊過哪些網站(一)
※谷歌郵箱Gmail新增AI技術 可解決釣魚郵件問題
※俄羅斯網路攻擊美國機構又添新證:俄特工涉雅虎郵箱遭黑客入侵
※短篇驚悚-路邊的老式郵箱筒
※人設要崩!貝克漢姆郵箱被黑,而揭露出的內容,國外網友有點炸……
※新增郵件雲 WPS郵箱5.0讓郵件 飛起來