日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

時隔一年之后，雅虎終于修復了圖片處理系統(tǒng)上的SSRF(服務端請求偽造)漏洞。

成都創(chuàng)新互聯(lián)從2013年成立，先為西平等服務建站，西平等地企業(yè)，進行企業(yè)商務咨詢服務。為西平企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

SSRF(服務端請求偽造)漏洞，也稱XSPA(跨站端口攻擊)，問題存在于應用程序在加載用戶提供的URL時，沒能正確驗證服務器的響應，然后就反饋回了客戶端。攻擊者可以利用該漏洞繞過訪問限制(如防火墻)，進而將受感染的服務器作為代理進行端口掃描，甚至是訪問系統(tǒng)中的數(shù)據(jù)。

來自加利福尼亞的研究員Behrouz Sadeghipour稱他是在2014年的7月份在雅虎圖片處理系統(tǒng)上發(fā)現(xiàn)的該漏洞，時隔發(fā)現(xiàn)時間已經有將近一年了，直至今日雅虎公司才給予修復。

漏洞詳情

雅虎提供Flickr和yahoo group服務，用戶可以在評論中使用IMG標簽添加圖片，但圖片會通過雅虎的圖片域名yimg.com進行加載。

https://ec.yimg.com/ec?url=http%3A%2F%2Fnahamsec.com%2F2.gif&t=1404282499&sig=gDQqxuPTgioR4SoCGeuIZg–~B

Sadeghipour可以通過向yimg.com發(fā)送請求，執(zhí)行跨站腳本(XSS)攻擊。他還可以將請求中的url參數(shù)字段替換成自己的url，然后發(fā)動SSRF攻擊。

hXtps://ec.yimg.com/ec?url=http%3A%2F%2Fnahamsec.com%3A22&t=1412102561&sig=zY7a9hM3xmRYvX05Avis9A–~B

https://ec.yimg.com/ec?url=http%3A%2F%2Flocalhost%3A22&t=1412569827&sig=TyFD2z3x5eqUWlF1PtgMKA–~B

該漏洞屬于中危漏洞，但是其危害程度卻不小。攻擊者利用它可以訪問本地網(wǎng)絡，甚至還可以查看本地設備或者遠程設備有哪個端口是打開的。

文章標題：一年之后，雅虎終于修復了SSRF漏洞
網(wǎng)址分享：http://www.dlmjj.cn/article/cdjdhgd.html