信息来源:FreeBuf
最近来自芬兰Klikki Oy的研究员Jouko Pynnönen发表了一篇博客,其中演示了恶意攻击者如何利用XSS漏洞攻下雅虎邮箱,将受害者收件箱中的邮件发到外部站点;以及构建病毒,这个病毒可以通过向邮件签名中添加恶意脚本,附加在所有传出的电子邮件中。
由于恶意代码就位于邮件消息的正文中,代码会在受害者打开邮件时立即执行,不需要其他交互过程。所有问题的症结实际上在于雅虎邮箱无法正确过滤HTML邮件中潜在的恶意代码。
以下是对这名研究人员博客文章的内容编译:
发现历程
离去年给雅虎挖洞也快一周年了,这个时间点我也打算再来一发。一开始我觉得基本的HTML过滤应该不会再有漏洞了,但在最近写邮件的时候,我发现了很多添加附件的选项,这些选项我去年倒是没有太注意。然后我写了一封邮件,里面包含各种附件,并发到某外部邮箱,这样我就可以检查邮件的HTML源码了。
雅虎邮箱提供了一项功能,可以从云服务中分享文件。在邮件中进行分享之后,文件不会附在邮件的附件中,而是会使用HTML代码插入一个链接,比如Google文档/Dropbox的链接。
在此,data-* HTML属性吸引了我的注意。首先是因为我去年穷举了一些雅虎邮箱过滤所允许的HTML属性,但是没有能够穷举出全部属性。第二,由于data-*属性存储的为Javascript所用的特定应用数据,所以这可能是个不错的攻击切入点。也就是说,可以在邮件中嵌入一些HTML属性绕过雅虎邮箱的过滤。
为了进一步了解data-*属性,我使用Chrome的开发者工具进入源码标签,寻找JavaScript文件中引用的data-url属性。我发现YouTube的链接也会被雅虎邮箱“优化”,如果你在邮件中输入Youtube的视频链接,雅虎邮箱就会自动帮你生成一个“链接加强卡片”,如下图所示,卡片中会包含一些data-*属性。
当用户打开包含这类“卡片”的邮件,雅虎就会通过
