3
Yahoo Mail漏洞导致没有主题和单个链接的电子邮件
最近,我收到了雅虎邮箱(或使用雅虎邮箱的sbcglobal.net)的朋友的随机电子邮件,没有主题和一些我不打算点击的随机网址。 起初我以为有人得到了他们的密码,我建议他们更新密码。 我刚收到一封来自上周更改密码的人的电子邮件。 这是某种跨站点脚本漏洞吗?有没有什么方法可以找出其中一条消息的接收者? 以下是最近邮件中的一些标题: Received: from [999.999.999.999] by web83806.mail.sp1.yahoo.com via HTTP; Wed, 27 Jun 2012 09:23:30 PDT X-Mailer: YahooMailWebService/0.8.118.349524 Message-ID: <1340814210.6602.YahooMailNeo@web83806.mail.sp1.yahoo.com> Date: Wed, 27 Jun 2012 09:23:30 -0700 (PDT) 收到的标题中列入黑名单的IP来自挪威的动态IP。 所以我假设IP上的机器能够获取我朋友的Yahoo Mail cookie并用它向她的地址簿中的人发送电子邮件。这听起来准确吗?即使有人使用HTTPS连接到Yahoo Mail,特制的电子邮件也许可以提取cookie并通过RPCXML调用将其传递到其他地方,对吧? 那么如何从这样的攻击中获取Yahoo Mail帐户呢? 更新:我现在收到了来自四个不同人的电子邮件。这显然不是一个孤立的事件,雅虎邮件的用户肯定可以做些什么来保护自己。