曾被列入十大應(yīng)用安全風險榜單中的XSS漏洞，正是被黑客出售的雅虎漏洞。這個XSS漏洞是一個URL引發(fā)，雖然很容易修復(fù)，但是卻很難被找到。

如果用戶點中了電郵中發(fā)來的惡意鏈接，攻擊者將會通過漏洞竊取并替代Cookies，可以監(jiān)控用戶的瀏覽過程，因此郵箱用戶的隱私將受到威脅。這名埃及的黑客表示為了保證漏洞不被盡快發(fā)現(xiàn)，將把漏洞售賣給自己信任的人。 據(jù)國外媒體報道，一位化名為“TheHell”的埃及黑客出價700美元出售一個雅虎漏洞。這個漏洞將使上千萬雅虎郵箱用戶處于危險之中。

[[104430]]

一旦受害人點擊了電子郵件中的惡意鏈接，這個漏洞允許攻擊者竊取并替代跟蹤Cookies，遠程控制受害者的瀏覽過程。這名黑客在一個演示視頻中表示：“受害者點擊鏈接后，他會被再次重定向至郵件頁面，之后你可以將他的頁面重定向至任何你想要的地方。”

TheHell稱，他將把這個漏洞出售給自己信任的人，以確保這個漏洞不會被很快修復(fù)。按照雅虎的說法，因為這是一個URL引發(fā)的XSS漏洞，因此很容易就可以修復(fù)，但是要找到它卻很難。開放網(wǎng)絡(luò)安全項目（The Open Web Security Project）此前曾把XSS漏洞列入十大應(yīng)用安全風險榜單中。

電腦安全專家布萊恩?克萊伯斯（Brian Krebs）表示，雅虎應(yīng)該仿效其他公司，向報告漏洞的黑客發(fā)放獎勵，這樣這些漏洞落入網(wǎng)絡(luò)罪犯手中的幾率就會減少。如果這個漏洞發(fā)生在谷歌身上，谷歌會為此支付1337美元。

由于目前還不清楚漏洞的具體情況，雅虎郵箱的用戶只能在面對不明鏈接時加倍小心。