گرداب/ یاهو در "جهنم" 700 دلاری!

گرداب/ یاهو در
تاریخ انتشار : ۰۷ آذر ۱۳۹۱

با کلیک کردن قربانی بر روی لینک ایمیل که با آسیب‌پذیری روز صفر آلوده شده است، این آسیب پذیری بر روی مرورگر او بارگذاری شده و تمامی اطلاعات حساس موجود در صفحه وب هم‌چون نام کاربری، گذرواژه، کوکی‌ها و تاریخچه مرورگر را می‌دزدد.

به گزارش گرداب به نقل از کربز، یک هکر مصری با استفاده از مشکلات امنیتی موجود در سایت یاهو حمله‌ای را طراحی کرده است که با ارسال ایمیلی با نام "جهنم" (The hell) به صندوق ورودی قربانی، وی را در معرض خطر هک شدن قرار می‌دهد.

این ایمیل که با آسیب‌پذیری روز صفر آلوده شده است حاوی لینکی می‌باشد که با کلیک کردن قربانی بر روی آن، آسیب‌پذیری بر روی مرورگر او بارگذاری شده و تمامی اطلاعات مورد نیازش همچون نام کاربری، گذرواژه، کوکی‌ها، تاریخچه مرورگر و دیگر اطلاعات حساس موجود در صفحه وب را می‌دزدد.

این نقص امنیتی به هکرها اجازه می‌دهد که با رفتن به ایمیل قربانی پیام‌های وی را خوانده و حتی از جانب وی به دیگران ایمیل ارسال کنند.

این هکر که با استفاده از ضعف موجود در کد نویسی صفحات وب این حمله را طراحی کرده است نمونه‌ای اجرا شده از حمله خود را در یک فایل ویدیویی برای یاهو فرستاده است و نمونه اسکریپت "XSS" این حمله  را در فروم خود قرار داده است و آن را به قیمت پیشنهادی 700 دلار برای فروش به مشتریان قرار داده است. وی چنین ادعا کرده است که این XSS از فیلترهای اینترنت اکسپلرور و کروم نیز می‌گذرد.