網路郵件隱藏的陷阱比人們想像的還要多。芬蘭 Klikki Oy 公司的安全研究員 Youko Pynnönen 剛剛透露所謂的「跨站點腳本」缺陷(XSS) 存在於雅虎郵件服務。該漏洞現已修正,可將惡意程式碼插入郵件中,並在收件者開啟郵件時自動執行。後者甚至不需要點擊連結或開啟附件。作為演示,Pynnönen 先生創建了一條損壞的郵件,該郵件一旦打開,就能夠讀取收件者的整個電子郵件收件匣並將該資訊發送回伺服器。
問題的根源在於雅虎郵件頁面的建構方式。在程式碼的某些部分,可以將 Javascript 程式碼插入 HTML 屬性中,而伺服器不會偵測到它。在另一個範例中(見下圖),研究人員建立了導致警報視窗開啟的程式碼,並將其插入到通常為 URL 保留的 HTML 屬性中。
接到通知後,雅虎很快就提供了一個補丁來消除這個缺陷。根據這家由美國巨頭設立的 HackerOne Bug Bounty 計劃,該研究人員獲得了 10,000 美元的獎金。去年一月,他就已經發現類似的缺陷,允許在雅虎電子郵件中執行惡意程式碼。在這裡,他再次獲得了10,000美元的獎勵。
