久久一区二区三区超碰国产精品,亚洲人成在线网站,国产在线精品一区免费香蕉,国产精品免费电影

歡迎您訪問雅虎郵箱無法正確過濾HTML郵件中潛在的潛在惡意代碼!

雅虎郵箱無法正確過濾HTML郵件中潛在的潛在惡意代碼

更新時(shí)間:2023-06-01 16:05:34作者:佚名

近期來自美國Oy的研究員JoukoPynn?nen發(fā)表了一篇博客,其中演示了蓄意防御者怎么運(yùn)用XSS漏洞攻下雅虎郵箱,將被害者收件箱中的短信發(fā)到外部站點(diǎn);以及建立病毒,這個(gè)病毒可以通過向電郵簽名中添加蓄意腳本,附加在所有傳出的電子電郵中。

因?yàn)樾钜獯a就坐落電郵消息的正文中,代碼會(huì)在被害者打開電郵時(shí)立刻執(zhí)行,不須要其他交互過程。所有問題的根源實(shí)際上在于雅虎郵箱未能正確過濾HTML電郵中潛在的蓄意代碼。

以下是對(duì)這名研究人員博客文章的內(nèi)容編譯:

發(fā)覺歷程

離去年給雅虎鉆洞也快一華誕了,這個(gè)時(shí)間點(diǎn)我也準(zhǔn)備再來一發(fā)。一開始我認(rèn)為基本的HTML過濾應(yīng)當(dāng)不會(huì)再有漏洞了,但在近期寫電郵的時(shí)侯,我發(fā)覺了這些添加附件的選項(xiàng),這種選項(xiàng)我今年倒是沒有太留意。

之后我寫了一封短信,上面包含各類附件,并發(fā)到某外部郵箱,那樣我就可以檢測短信的HTML源碼了。

雅虎郵箱登陸首頁_138郵箱登陸首頁_如何登陸雅虎cn郵箱

雅虎郵箱提供了一項(xiàng)功能,可以從云服務(wù)中分享文件。在電郵中進(jìn)行分享以后,文件不會(huì)附在短信的附件中雅虎郵箱登陸首頁,而是會(huì)使用HTML代碼插入一個(gè)鏈接,例如文檔/的鏈接。

在此,data-*HTML屬性吸引了我的留意。首先是由于我今年枚舉了一些雅虎郵箱過濾所容許的HTML屬性,并且沒有才能枚舉出全部屬性。

第二,因?yàn)閐ata-*屬性儲(chǔ)存的為所用的特定應(yīng)用數(shù)據(jù),因此這或許是個(gè)不錯(cuò)的防御發(fā)力點(diǎn)。也就是說,可以在電郵中嵌入一些HTML屬性跨過雅虎郵箱的過濾。

為了逐步了解data-*屬性,我使用的開發(fā)者工具踏入源碼標(biāo)簽,尋求文件中引用的data-url屬性。

我發(fā)覺的鏈接也會(huì)被雅虎郵箱“優(yōu)化”雅虎郵箱登陸首頁,假如你在電郵中鍵入的視頻鏈接,雅虎郵箱都會(huì)手動(dòng)幫你生成一個(gè)“鏈接推進(jìn)卡片”,如右圖所示,卡片中會(huì)包含一些data-*屬性。

當(dāng)用戶打開包含這類“卡片”的短信,雅虎都會(huì)通過嵌入視頻,視頻里面就會(huì)有一個(gè)分享按鍵,這種功能就是通過雅虎郵箱JS代碼的data-*屬性實(shí)現(xiàn)的。

接下去,我嘗試用data-*屬性構(gòu)造電郵,漏洞有了!

假如我們在data-url這個(gè)值中插入冒號(hào),都會(huì)造成分享按鍵的HTML未能正確解讀。

而只要URL對(duì)準(zhǔn)的網(wǎng)站在雅虎的白名單中,例如對(duì)準(zhǔn),雅虎就不會(huì)再進(jìn)行檢測或則編碼。data-url的值會(huì)被拿來設(shè)置div爭創(chuàng)按鍵:

我進(jìn)行的檢測如下:

From: Subject: helloTo: victim@yahoo.comMIME-Version: 1.0Content-type: text/html

當(dāng)我從雅虎郵箱打開電郵時(shí),那段針對(duì)鏈接進(jìn)行“優(yōu)化”的代碼會(huì)使用data-url屬性來渲染按鍵。而掩藏在屬性中的HTML花絮也會(huì)逐漸讀取,我所添加的HTML代碼是一個(gè)包含屬性的

138郵箱登陸首頁_雅虎郵箱登陸首頁_如何登陸雅虎cn郵箱

,防御者的蓄意代碼也就得以執(zhí)行。

實(shí)際上,這個(gè)問題的根源可以溯源到雅虎郵箱的一個(gè)函數(shù):

function generateButton(e,t) { ? var n=this,r;
 ? t.insert([''].join(""));
 ? r=t.one("."+o);
 ? n._attachButtonListeners(r);}

這個(gè)函數(shù)名稱為t..(r.,s),第一個(gè)參數(shù)就是短信中嵌入的data-url屬性。

可以看見,頂部HTML的部份就是直接把字符串條紋了上去,沒有做任何更改。

影響

這次發(fā)覺的這個(gè)漏洞的影響跟今年的XSS漏洞實(shí)際上是一樣的。

為了證明漏洞的存在性,我給雅虎安全部委發(fā)了一封短信,短信打開時(shí),會(huì)使用AJAX調(diào)用用戶收件箱中的短信內(nèi)容,并把它發(fā)送到防御者的服務(wù)器。

作者早已于11月12日通過向雅虎安全遞交了漏洞,11月29日雅虎提供了1萬日元的賞金。

為您推薦

波士頓大學(xué)商學(xué)院排名好的專業(yè)有哪些?彬彬教育

波士頓大學(xué)商學(xué)院排名好的專業(yè):本科波士頓大學(xué)商學(xué)院排名好的專業(yè):研究生波士頓大學(xué)商學(xué)院本科專業(yè)排名2020美國大學(xué)商學(xué)院金融專業(yè)排名:36(↑);2020美國大學(xué)商學(xué)院創(chuàng)業(yè)管理專業(yè)排名:37(↑);2020美國大學(xué)商學(xué)院會(huì)計(jì)專業(yè)排名:47(↑);波士頓大學(xué)商學(xué)院研究生專業(yè)排名2021美國大學(xué)商學(xué)院項(xiàng)目管理(MBA)專業(yè)排名:4(↑);波士頓大學(xué)商學(xué)院排名

2023-06-01 14:07

2016年上半年本科教學(xué)教師教學(xué)團(tuán)隊(duì)工作會(huì)議在行政樓B301

7月14日下午,2016年上半年本科教學(xué)教師教學(xué)團(tuán)隊(duì)工作會(huì)議在行政樓B301召開,校長夏建國、副校長魯嘉華及全體教學(xué)團(tuán)隊(duì)負(fù)責(zé)人、2016年校優(yōu)秀學(xué)生導(dǎo)師出席了會(huì)議。

2023-05-30 21:05

百字作文挑戰(zhàn)6——電影《地道戰(zhàn)》觀后感五(12)班

百字作文挑戰(zhàn)6—電影《地道戰(zhàn)》觀后感《地道戰(zhàn)》觀后感你的這篇觀后感堪稱范文,老師為你驕傲!《地道戰(zhàn)》觀后感今天,我看完一部電影《地道戰(zhàn)》,我心里有十分多的說不清的感觸,請(qǐng)讓我一一說給你聽吧。《地道戰(zhàn)》觀后感星期天,我在家看一部電影,名字叫《地道戰(zhàn)》。《地道戰(zhàn)》觀后感

2023-05-30 20:06

(名師推薦)閱讀與收藏——《尺有所短寸有所長》

《尺有所短,寸有所長》讀后感《尺有所短,寸有所長》讀后感1《尺有所短,寸有所長》讀后感2我讀了一篇文章叫《尺有所短,寸有所長》。“尺有所短,寸有所長。《尺有所短,寸有所長》讀后感3《尺有所短,寸有所長》讀后感4《尺有所短,寸有所長》讀后感5【《尺有所短,寸有所長》讀后感】相關(guān)文章:尺有所短寸有所長讀后感03-04

2023-05-30 17:06

(教師招聘)文明禮儀是什么?——致教師的一封信

做個(gè)文明中國人演講稿”做怎樣的人,這個(gè)問題會(huì)有很多的答案,但是這些答案的背后都有一個(gè)基本點(diǎn),那就是做人首先要做一個(gè)文明的人。做文明人就要文明用語,文明做事。做個(gè)文明中國人演講稿托起我的中國夢,做文明有禮的中國人直到今天,文明有禮仍在我們舉手投足間若隱若現(xiàn),是每一個(gè)中國人仍需懷揣的中國夢。做一個(gè)文明的中國人,把禮貌時(shí)刻放在心上。說文明語,做文明事,懂禮貌,明事理,把中國人以禮待人的一面展現(xiàn)給外國友人看。

2023-05-30 15:03

我是幸福的,因?yàn)椋矣袗郏嗳?/a>

我是幸福的,因?yàn)椋矣袗郏嗳邸P腋J鞘裁矗啃腋>褪墙憬阒t讓地讓我去看電影時(shí)的愛;幸福是什么?幸福,就在一家人的相伴里,就在一家人的相愛相守中。原來,陪伴就是世界上最深情的愛的告白!幸福是什么?遇到關(guān)于“幸福”,“感動(dòng)”等以情感類為主題的作文,可以著手于小事描寫。父母從小鼓勵(lì)孩子寫作并發(fā)表和分享,則會(huì)給孩子的學(xué)習(xí)帶來十足的動(dòng)力和自信,甚至?xí)淖兒⒆拥囊簧?/a>

2023-05-30 14:05

加載中...
主站蜘蛛池模板: 巩义市| 丹江口市| 邢台市| 大埔县| 合肥市| 上蔡县| 天门市| 库车县| 河北区| 扎囊县| 土默特右旗| 青海省| 保定市| 陕西省| 商河县| 延庆县| 天台县| 陕西省| 铜陵市| 保康县| 田阳县| 临沧市| 阜平县| 敖汉旗| 微博| 常熟市| 綦江县| 思南县| 南岸区| 郧西县| 家居| 高阳县| 新化县| 青冈县| 丘北县| 台东市| 四子王旗| 石阡县| 都匀市| 花莲县| 科技|