Yahoo! Mail乗っ取りのコンセプト実証コード出現

[ITmedia]

　「Yahoo! Mail」を標的としたクロスサイトスクリプティング（XSS）攻撃のコンセプトを実証するコード（PoC）が発見された。セキュリティ企業のTrend Microが6月20日のブログで伝えている。

　それによると、攻撃コードは2つのコンポーネントで構成される。Perlで書かれたCGIスクリプトのコンポーネントはWebサーバにインストールされ、そのサーバでホスティングされているWebページをユーザーが閲覧するたびに実行される。このCGIスクリプトのパスを、もう1つのコンポーネントであるURL生成モジュールで解析し、Yahoo!のURLを付加して新しいURLを生成する。

　生成されたURLを、一見無害なものに見せかけたメールなどで送って攻撃に利用。ユーザーがリンクをクリックすると、そのユーザーのYahoo!アカウントが盗まれてしまう仕組みだ。

　Trend Microによると、今回ののPoCではユーザーの受信箱にあるメールをYahoo!のドメイン外にあるWebページに表示することしかできない。しかし、リンクをクリックするだけでWebメールアカウントが乗っ取られ得るということが、これで実証されたと解説している。