Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Można było czytać maile użytkowników poczty Yahoo – błąd warty $10 000
Tym razem w akcji persistent XSS.
Można było przygotować odpowiednio maila, który po przeczytaniu w webmailu Yahoo powodował automatyczne wykonanie JavaScriptu w przeglądarce ofiary.
Odkrywca błędu w ramach PoC przygotował stosowną wiadomość:
As a proof of concept I supplied Yahoo Security with an email that, when viewed, would use AJAX to read the user’s inbox contents and send it to the attacker’s server.
A za zgłoszenie buga zgarnął $10 000.
–ms