芬兰安全研究人员Jouko Pynnonen第二次拿到雅虎1万美元奖金，这次是发现了一个全新的雅虎邮箱存储型跨站脚本漏洞。不到一年前，Pynnonen私下披露了雅虎邮箱的一个存储型跨站脚本（Stored XSS）漏洞，获得雅虎HackerOne计划颁发的10000美元奖金。

雅虎在11月29日（Pynnonen报告漏洞17天之后）修复了该漏洞。这个漏洞给用户带来的风险与2015年漏洞一样。也就是说，攻击者可以利用这个漏洞来读取受害人的电子邮件、在受害人电脑植入恶意软件或者利用其它漏洞。同时，受害人只要浏览攻击者发来的邮件就会中招。据Pynnonen说，完全不需要其他交互。

Pynnonen在邮件中说：“基本上，通过编造一封特殊格式的电子邮件，攻击者可以嵌入JavaScript。受害人通过雅虎邮箱浏览该邮件时，脚本就会在受害人浏览器中执行。攻击者不需要特殊的权限。实际上，甚至不需要注册雅虎邮箱就可以发动这样的攻击，只要受害人使用雅虎邮箱就行。”

在周四公布的漏洞描述中，Pynnonen解释了如何编造一封带有恶意data-*属性的邮件，通过滥用雅虎邮箱对白名单网站（例如YouTube）链接的显示方式，偷偷绕过雅虎过滤器将恶意JavaScript送进受害人电脑。

例如，雅虎邮箱显示YouTube视频链接时会生成链接增强器卡，在电子邮件中显示该视频的预览。

“当雅虎邮箱打开包含这类标记的邮件时，它会添加嵌入在<IFRAME>标记中的视频。视频旁边还会显示一个分享按钮。这些功能由雅虎邮箱的JavaScript代码通过data-*属性实现。

我试了试构造一封带有‘abusive’data-*属性的邮件。宾果！我很快发现了一个问题。在data-url值中插入一个引用符号会导致分享按钮中出现损坏HTML。只要URL指向YouTube这样的白名单网站，就不会有进一步的完整性检查或编码。这个值本来是为了设置一个div innerHTML，以创建分享按钮。

当在雅虎邮箱浏览这封邮件时，链接增强脚本会用data-url来渲染分享按钮。这个属性中的HTML段在页面中得以渲染——一个具有任意onerror属性的<IMG>标记，将导致攻击者提供的JavaScript被立即执行。”

去年12月26日，Pynnonen曾向雅虎报告了一个类似的漏洞，并在1月6日被修复。这两次10000万美元的赏金居于雅虎赏金计划支付的最高赏金之列。Pynnonen在比较这两个漏洞时说：“漏洞影响是一样的。区别在于如何格式化邮件，以达到执行脚本的目的。”

雅虎Yahoo近期的安全事件频出，相关文章请参考

Facebook从黑市购买用户账户？雅虎前任首席信息安全官出面解释

5亿雅虎账户泄露到底是怎么发生的？Venafi说可能是证书加密有问题

Verizon不想收购雅虎了？ 雅虎说5亿数据事件是*资助黑客所为 损失超过100万美金

原文发布时间：2017年3月24日

本文由：threatpost 发布，版权归属于原作者

原文链接：http://toutiao.secjia.com/yahoo-xss-cross-site-scripting-vulnerability

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站