一年之后，雅虎终于修复了SSRF漏洞

时隔一年之后，雅虎终于修复了图片处理系统上的SSRF(服务端请求伪造)漏洞。

成都创新互联从2013年成立，先为西平等服务建站，西平等地企业，进行企业商务咨询服务。为西平企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。

SSRF(服务端请求伪造)漏洞，也称XSPA(跨站端口攻击)，问题存在于应用程序在加载用户提供的URL时，没能正确验证服务器的响应，然后就反馈回了客户端。攻击者可以利用该漏洞绕过访问限制(如防火墙)，进而将受感染的服务器作为代理进行端口扫描，甚至是访问系统中的数据。

来自加利福尼亚的研究员Behrouz Sadeghipour称他是在2014年的7月份在雅虎图片处理系统上发现的该漏洞，时隔发现时间已经有将近一年了，直至今日雅虎公司才给予修复。

漏洞详情

雅虎提供Flickr和yahoo group服务，用户可以在评论中使用IMG标签添加图片，但图片会通过雅虎的图片域名yimg.com进行加载。

https://ec.yimg.com/ec?url=http%3A%2F%2Fnahamsec.com%2F2.gif&t=1404282499&sig=gDQqxuPTgioR4SoCGeuIZg–~B

Sadeghipour可以通过向yimg.com发送请求，执行跨站脚本(XSS)攻击。他还可以将请求中的url参数字段替换成自己的url，然后发动SSRF攻击。

hXtps://ec.yimg.com/ec?url=http%3A%2F%2Fnahamsec.com%3A22&t=1412102561&sig=zY7a9hM3xmRYvX05Avis9A–~B

https://ec.yimg.com/ec?url=http%3A%2F%2Flocalhost%3A22&t=1412569827&sig=TyFD2z3x5eqUWlF1PtgMKA–~B

该漏洞属于中危漏洞，但是其危害程度却不小。攻击者利用它可以访问本地网络，甚至还可以查看本地设备或者远程设备有哪个端口是打开的。

网站栏目：一年之后，雅虎终于修复了SSRF漏洞
URL网址：http://www.shufengxianlan.com/qtweb/news38/225938.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联