互联网搜索公司netcraft的工具条检测到雅虎网站有一个跨站脚本安全漏洞。利用这个安全漏洞能够窃取身份识别cookies。
netcraft公司的paul mutton本周一在博客中说,这个安全漏洞存在于雅虎hotjobs搜索引擎网站。黑客在这个网站上嵌入了恶意的javascript代码。
mutton说,这个脚本窃取发送到雅虎网站域名的身份识别cookies,然后把这些cookies发送到美国的不同网站。黑客在那些网站搜集这些窃取的身份识别细节资料。
这种偷窃的证书能够让攻击者访问受害人的雅虎账户,包括雅虎邮件服务的账户。这个安全漏洞与今年早些时候影响雅虎其它网站的另一个安全漏洞类似。
mutton说,访问雅虎网站的恶意url地址就足以使受害人成为攻击者的猎物,让攻击者获取受害访问进程中的cookies,从而获得访问受害人雅虎邮件账户的权限。攻击者完成这个过程甚至都不需要输入用户名和秘密。攻击者给受害人发送一个空白网页,使受害人想不到自己的账户已经被攻破了。
mutton指出,网站必须保护cookie值。netcraft已经向雅虎通报了这个安全漏洞。本周一没有找到雅虎发言人对此发表评论