昨天，黑客 Shahin Ramezany 上傳了一段視頻，演示如何利用所有主流瀏覽器的 XSS 漏洞入侵雅虎郵箱：

用戶打開(kāi)郵件，點(diǎn)擊帶有惡意代碼的鏈接，然后黑客在后臺(tái)修改瀏覽器的 Cookies，就可以完全入侵用戶的郵箱。不久之后，雅虎發(fā)表聲明，確認(rèn)漏洞存在，并且已進(jìn)行修復(fù)。

而一家信息安全培訓(xùn)和測(cè)試的公司 Offensive Security 今天發(fā)布的相關(guān)的測(cè)試結(jié)果，發(fā)現(xiàn)雅虎郵箱的 DOM類型XSS 0Day 漏洞依然存在。雖然郵箱已經(jīng)升級(jí)，但是依然能利用原來(lái)的漏洞入侵帳號(hào)。