Уязвимость в почтовом сервисе Yahoo! позволяла без труда подменять имя отправителя письма

Уязвимость в почтовом сервисе Yahoo! позволяла без труда подменять имя отправителя письма

Злоумышленник мог осуществить спуфинг-атаку с помощью метода POST.

Компания Vulnerability Lab раскрыла подробности об уязвимости в почтовом сервисе Yahoo!, обнаруженной независимым экспертом Лоуренсом Эмером (Lawrence Amer) в октябре прошлого года. Ошибка позволяла злоумышленнику без привилегий пользователя удаленно подменять имя отправителя электронного письма в классическом web-интерфейсе сервиса.

Уязвимость содержалась в модуле «написать сообщение» («compose message») почтового web-приложения Yahoo!. Злоумышленник мог подменить имя отправителя, используя метод POST. Другими словами, авторизовавшись в своей учетной записи в почтовом сервисе, любой желающий мог открыть в браузере инструменты разработчика, найти свой адрес в коде и подменить его другим.

Уровень опасности уязвимости определен как средний. Компания Yahoo! выпустила исправление для данной ошибки 29 февраля 2016 года.

Ниже представлено видео, демонстрирующее способ эксплуатации уязвимости.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.