近日,网上出现了一个要价700美元的可访问雅虎邮件用户信息的跨站脚本(XSS)黑客工具。据悉,该个工具将会导致近百万的雅虎Mail用户账号被盗,并且他们使用的浏览器会自动转入到恶意网站上。发布该个脚步的是一位来自埃及的黑客“The Hell”。他在网络犯罪论坛上指出,这个存在于Yahoo.com的XSS漏洞可以让人们盗取以及替换追踪到的cookies,同时也可以利用被盗账号收发邮件。 一般情况下,攻击者可以利用这些账号在邮件里植入恶意链接的代码,当用户在点击链接时,脚本就会开始执行,从而可以让攻击者拥有访问用户cookies以及其他敏感信息的权力。 该名黑客表示,有了他手上的这份雅虎XSS,人们无需绕过IE或者Chrome Xss过滤器。另外,他对这份的XSS要价为700美元,并且他希望只卖给可以信任的人。 不过,雅虎方面表示这个漏洞非常容易补上。一旦他们确认了攻击者提供的URL,就可以在几个小时之后加入新的代码来修复这一漏洞。
