雅虎網站安全被質疑

據一位獨立安全研究人員稱，攻擊者只要濫用雅虎Developer Network網站上的一項功能，就可以從訪問惡意網頁的雅虎用戶賬戶中讀取電子郵件、聯系人資料和其他私密數據。

一位名叫Sergiu Dragos Bogdan的搜尋Web應用程序缺陷的羅馬尼亞人，在羅馬尼亞布加勒斯特召開的DefCamp安全大會上演示了小規模攻擊，表明了developer.yahoo.com網站上基于Web的YOL（雅虎查詢語言）控制臺如何被攻擊者濫用。

查詢輸入到控制臺的“YQL語句”字段和“TEST”按鈕被按下時，名為“crumb”的針對特定用戶會話的授權代碼也會連同請求一并提交。用戶訪問YQL控制臺頁面后，crumb就會生成，并自動被插入到表單請求中。

Bogdan在演講過程中出示了將某個developer.yahoo.com URL裝入到iframe里面的概念證明（POC）攻擊頁面。攻擊頁面被已驗證身份的雅虎用戶訪問后——使用了測試賬戶，iframe返回了訪客的crumb代碼。

然而，瀏覽器內置的安全機制不允許在一個域名環境下運行的代碼讀取來自放置在另一個域名、裝入到iframe里面的頁面的內容。這意味著，雖然訪客本人可以看到攻擊頁面上的crumb代碼，但是由于iframe裝入到訪客的瀏覽器中，攻擊頁面本身讀取不了代碼，也無法自動使用代碼，必須利用受害者來進行已驗證身份的YQL查詢。

在這種情況下，攻擊者需要欺騙用戶提供在頁面上顯示的秘密代碼。由于crumb實際上是一串隨機數字和字母（比如y5XAjn1fKIQ），Bogdan在攻擊頁面上建立了一個虛假的驗證碼測試，看起來在iframe中顯示的crumb其實是用戶為了通過測試而需要輸入的驗證碼質問字符串。如果通過虛假的驗證碼，用戶實際上授權以他的名義進行YQL查詢。

使用虛假的驗證碼不是一種新的攻擊方法。之前早就記錄了繞開跨域限制的這種手法。之前也有過攻擊者成功利用這種方法竊取安全令牌的案例。賽門鐵克去年稱，垃圾郵件發送者使用一種非常相似的手段，竊取Facebook用戶的反CSRF（跨站請求偽造）代碼，從而讓他們得以以正當用戶的身份發布垃圾郵件鏈接。

Bogdan在概念證明攻擊中使用了一個YQL命令，更改用戶在雅虎數據庫中的個人檔案資料。同樣這個方法可用來運行YQL查詢，返回來自用戶的雅虎電子郵件賬戶或其他私密信息。

為了可以成功讀取電子郵件，攻擊者需要使用另一種手法，迫使數據返回到其服務器。

此外，他稱，“只要利用developer.yahoo.com網站存在的一個尚未公開的安全漏洞，就可以讓整個攻擊完全實現自動化。”這意味著攻擊者不再需要使用驗證碼手法。

因為攻擊鉆了多個安全問題的漏洞，使用了幾種不同的手法，Bogdan稱之為是“混合威脅”。

這位研究人員稱，在此期間，雅虎只要防止未經授權的第三方網站將來自developer.yahoo.com域的內容裝入到iframe里面，就可以阻止這類攻擊。

這種防御機制通常用來對付同樣依賴被裝入到iframe里面后，被濫用的正當頁面的點擊劫持攻擊。這種防御可以通過名為X-FRAME-OPTIONS的現代瀏覽器支持的標頭來實現，也可以通過使用JavaScript代碼來實現。這種代碼的優點是，還可以在原來的瀏覽器上運行，但是效果不大可靠。

被問及對Bogdan在DefCamp大會上演示的概念證明攻擊以及他提議的解決辦法有何評論時，雅虎并沒有給予答復。

值得注意的是，谷歌、Mozilla、Facebook和PayPal都開展有賞尋找安全缺陷的計劃，哪些研究人員負責任地披露其網站存在的安全漏洞，就能領到應得賞金。

鏈接

YQL是雅虎開發的一種編程語言，類似SQL（結構化查詢語言）。它可用來查詢、過濾及合并存儲在數據庫中的數據。可通過雅虎開發者網站訪問基于Web的控制臺，開發人員只要針對雅虎自己的數據庫執行YQL查詢，就可以用該控制臺來學習和測試YQL。未驗證身份的用戶只能針對含有公開可見的雅虎信息（如來自雅虎問答、雅虎天氣及其他服務的信息）的表，運行YQL查詢。然而，當用戶驗證身份后，他們還能訪問含有自己的雅虎賬戶數據的表，包括電子郵件、聯系人資料和私人檔案信息。