Lợi dụng lỗi Cross Site Request Forgery của Yahoo! 360, kẻ xấu có thể xóa toàn bộ lời bình (comment) cũng như các bài viết (entry) trong blog của bạn. Lỗ hổng nghiêm trọng ở chỗ cách khai thác rất dễ dàng. Kẻ xấu chỉ cần dụ bạn truy cập vào một đường link là hắn đã có thể dễ dàng thao túng blog của bạn. Cách tấn công dễ nhất xem chừng là tạo một entry trên Yahoo! 360 chứa các thẻ img liên kết đến các đường link xóa comment. Khi bạn vào đọc entry đó, ngay lập tức comment trong blog của bạn sẽ bị xóa. Thậm chí nếu muốn, khi bạn đang đọc bài viết này, tôi cũng có thể âm thầm xóa comment trên blog của bạn (điều kiện duy nhất là bạn vẫn chưa logout ra khỏi Yahoo!).
Phát hiện lỗi nghiêm trọng trong Yahoo! 360
Phát hiện lỗi nghiêm trọng trong Yahoo! 360
Phát hiện lỗi nghiêm trọng trong Yahoo! 360
Lợi dụng lỗi Cross Site Request Forgery của Yahoo! 360, kẻ xấu có thể xóa toàn bộ lời bình (comment) cũng như các bài viết (entry) trong blog của bạn. Lỗ hổng nghiêm trọng ở chỗ cách khai thác rất dễ dàng. Kẻ xấu chỉ cần dụ bạn truy cập vào một đường link là hắn đã có thể dễ dàng thao túng blog của bạn. Cách tấn công dễ nhất xem chừng là tạo một entry trên Yahoo! 360 chứa các thẻ img liên kết đến các đường link xóa comment. Khi bạn vào đọc entry đó, ngay lập tức comment trong blog của bạn sẽ bị xóa. Thậm chí nếu muốn, khi bạn đang đọc bài viết này, tôi cũng có thể âm thầm xóa comment trên blog của bạn (điều kiện duy nhất là bạn vẫn chưa logout ra khỏi Yahoo!).