雅虎邮箱XSS漏洞细节分析

本月雅虎邮箱爆出了一个XSS漏洞，该漏洞允许代码嵌入特殊格式的电子邮件。在用户预览邮件时，不知不觉就会自动触发XSS。

影响WEB邮箱的XSS漏洞   

研究人员向雅虎提交了一个电子邮件的POC，它能直接把受害者的收件内容转发到外部的网站，并且顺带有蠕虫扩散的功能。不过让人庆幸的是，此漏洞在互联网上还没有发现之前已经被官方修复。

这个漏洞影响了所有版本的雅虎WEB邮箱，但移动app并未受影响。据报道，雅虎邮箱是全国第二大电子邮件服务商，截止于2014年2月，它已拥有3亿客户。

细节   

首先，发送一封带有所有已知HTML标签的邮件进行fuzz，看看雅虎邮箱有哪些标签没有过滤。观察过雅虎邮箱的测试结果后，注意到如果bool型的HTML属性赋予了值，过滤器会把它remove掉，但是等号会保留下来。

比如：

过滤后：

初看似乎没什么问题，但是WEB浏览器在处理时会发生某些特别的变化。比如，在checked属性里，默认等于check，不用赋值也可以正常显示。这种行为是基于HTML规范，在不带引号的属性值里，是允许无字符或空格字符的。

这个特性可以让我们无限制地插入带bool属性的HTML标签，在这个POC中，使用了标签，比如：

雅虎邮箱过滤后：

这封带POC的邮件，整个浏览器会被img标记占满整个窗口。Javascript代码的onmouseover属性值将即时执行，不会与用户进行进一步的交互。在邮件设置里禁止或允许图像，都是不能够阻止攻击的。

官方反馈   

这个漏洞在2015年12月26日通过HackerOne漏洞奖励平台报告给雅虎，官方于2016年1月6日进行修复，并为此奖励了漏洞报告人员1万美金。

来源：freebuf.com