曾被列入十大應(yīng)用安全風(fēng)險(xiǎn)榜單中的XSS漏洞，正是被黑客出售的雅虎漏洞。這個(gè)XSS漏洞是一個(gè)URL引發(fā)，雖然很容易修復(fù)，但是卻很難被找到。

如果用戶點(diǎn)中了電郵中發(fā)來的惡意鏈接，攻擊者將會(huì)通過漏洞竊取并替代Cookies，可以監(jiān)控用戶的瀏覽過程，因此郵箱用戶的隱私將受到威脅。這名埃及的黑客表示為了保證漏洞不被盡快發(fā)現(xiàn)，將把漏洞售賣給自己信任的人。 據(jù)國外媒體報(bào)道，一位化名為“TheHell”的埃及黑客出價(jià)700美元出售一個(gè)雅虎漏洞。這個(gè)漏洞將使上千萬雅虎郵箱用戶處于危險(xiǎn)之中。

[[104430]]

一旦受害人點(diǎn)擊了電子郵件中的惡意鏈接，這個(gè)漏洞允許攻擊者竊取并替代跟蹤C(jī)ookies，遠(yuǎn)程控制受害者的瀏覽過程。這名黑客在一個(gè)演示視頻中表示：“受害者點(diǎn)擊鏈接后，他會(huì)被再次重定向至郵件頁面，之后你可以將他的頁面重定向至任何你想要的地方。”

TheHell稱，他將把這個(gè)漏洞出售給自己信任的人，以確保這個(gè)漏洞不會(huì)被很快修復(fù)。按照雅虎的說法，因?yàn)檫@是一個(gè)URL引發(fā)的XSS漏洞，因此很容易就可以修復(fù)，但是要找到它卻很難。開放網(wǎng)絡(luò)安全項(xiàng)目（The Open Web Security Project）此前曾把XSS漏洞列入十大應(yīng)用安全風(fēng)險(xiǎn)榜單中。

電腦安全專家布萊恩?克萊伯斯（Brian Krebs）表示，雅虎應(yīng)該仿效其他公司，向報(bào)告漏洞的黑客發(fā)放獎(jiǎng)勵(lì)，這樣這些漏洞落入網(wǎng)絡(luò)罪犯手中的幾率就會(huì)減少。如果這個(gè)漏洞發(fā)生在谷歌身上，谷歌會(huì)為此支付1337美元。

由于目前還不清楚漏洞的具體情況，雅虎郵箱的用戶只能在面對(duì)不明鏈接時(shí)加倍小心。