Można było czytać maile użytkowników poczty Yahoo – błąd warty $10 000

08 grudnia 2016, 19:37 | W biegu | 0 komentarzy
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Tym razem w akcji persistent XSS.

Można było przygotować odpowiednio maila, który po przeczytaniu w webmailu Yahoo powodował automatyczne wykonanie JavaScriptu w przeglądarce ofiary.

Odkrywca błędu w ramach PoC przygotował stosowną wiadomość:

As a proof of concept I supplied Yahoo Security with an email that, when viewed, would use AJAX to read the user’s inbox contents and send it to the attacker’s server.

A za zgłoszenie buga zgarnął $10 000.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz