据一位独立安全研究人员称，攻击者只要滥用雅虎Developer Network网站上的一项功能，就可以从访问恶意网页的雅虎用户账户中读取电子邮件、联系人资料和其他私密数据。
　　一位名叫Sergiu Dragos Bogdan的搜寻Web应用程序缺陷的罗马尼亚人，在罗马尼亚布加勒斯特召开的DefCamp安全大会上演示了小规模攻击，表明了developer.yahoo.com网站上基于Web的YOL（雅虎查询语言）控制台如何被攻击者滥用。
　　查询输入到控制台的“YQL语句”字段和“TEST”按钮被按下时，名为“crumb”的针对特定用户会话的授权代码也会连同请求一并提交。用户访问YQL控制台页面后，crumb就会生成，并自动被插入到表单请求中。
　　Bogdan在演讲过程中出示了将某个developer.yahoo.com URL装入到iframe里面的概念证明（POC）攻击页面。攻击页面被已验证身份的雅虎用户访问后——使用了测试账户，iframe返回了访客的crumb代码。
　　然而，浏览器内置的安全机制不允许在一个域名环境下运行的代码读取来自放置在另一个域名、装入到iframe里面的页面的内容。这意味着，虽然访客本人可以看到攻击页面上的crumb代码，但是由于iframe装入到访客的浏览器中，攻击页面本身读取不了代码，也无法自动使用代码，必须利用受害者来进行已验证身份的YQL查询。
　　在这种情况下，攻击者需要欺骗用户提供在页面上显示的秘密代码。由于crumb实际上是一串随机数字和字母（比如y5XAjn1fKIQ），Bogdan在攻击页面上建立了一个虚假的验证码测试，看起来在iframe中显示的crumb其实是用户为了通过测试而需要输入的验证码质问字符串。如果通过虚假的验证码，用户实际上授权以他的名义进行YQL查询。
　　使用虚假的验证码不是一种新的攻击方法。之前早就记录了绕开跨域限制的这种手法。之前也有过攻击者成功利用这种方法窃取安全令牌的案例。赛门铁克去年称，垃圾邮件发送者使用一种非常相似的手段，窃取Facebook用户的反CSRF（跨站请求伪造）代码，从而让他们得以以正当用户的身份发布垃圾邮件链接。
　　Bogdan在概念证明攻击中使用了一个YQL命令，更改用户在雅虎数据库中的个人档案资料。同样这个方法可用来运行YQL查询，返回来自用户的雅虎电子邮件账户或其他私密信息。
　　为了可以成功读取电子邮件，攻击者需要使用另一种手法，迫使数据返回到其服务器。
　　此外，他称，“只要利用developer.yahoo.com网站存在的一个尚未公开的安全漏洞，就可以让整个攻击完全实现自动化。”这意味着攻击者不再需要使用验证码手法。
　　因为攻击钻了多个安全问题的漏洞，使用了几种不同的手法，Bogdan称之为是“混合威胁”。
　　这位研究人员称，在此期间，雅虎只要防止未经授权的第三方网站将来自developer.yahoo.com域的内容装入到iframe里面，就可以阻止这类攻击。
　　这种防御机制通常用来对付同样依赖被装入到iframe里面后，被滥用的正当页面的点击劫持攻击。这种防御可以通过名为X-FRAME-OPTIONS的现代浏览器支持的标头来实现，也可以通过使用JavaScript代码来实现。这种代码的优点是，还可以在原来的浏览器上运行，但是效果不大可靠。
　　被问及对Bogdan在DefCamp大会上演示的概念证明攻击以及他提议的解决办法有何评论时，雅虎并没有给予答复。
　　值得注意的是，谷歌、Mozilla、Facebook和PayPal都开展有赏寻找安全缺陷的计划，哪些研究人员负责任地披露其网站存在的安全漏洞，就能领到应得赏金。
　　链接
　　YQL是雅虎开发的一种编程语言，类似SQL（结构化查询语言）。它可用来查询、过滤及合并存储在数据库中的数据。可通过雅虎开发者网站访问基于Web的控制台，开发人员只要针对雅虎自己的数据库执行YQL查询，就可以用该控制台来学习和测试YQL。未验证身份的用户只能针对含有公开可见的雅虎信息（如来自雅虎问答、雅虎天气及其他服务的信息）的表，运行YQL查询。然而，当用户验证身份后，他们还能访问含有自己的雅虎账户数据的表，包括电子邮件、联系人资料和私人档案信息。