上周六,ViruS_HimA通过pastebin和AnonPaste,发布向雅虎发布了三项警告。
首先,由于雅虎的安全问题,他已经获得了雅虎一个子域名所在的服务器的完全访问权限,并获得了该域名下全部文件的备份内容。
服务器备份内容代码(图片来自cnbeta,下同)
其次,由于服务器上的完全访问权限,他又不费吹灰之力进入了雅虎内部12个数据库。
雅虎SQL注入攻击
三是,发现雅虎存在反射跨站脚本(XSS)漏洞。
XSS漏洞
这三种情况下,ViruS_HimA有可能获得大量的用户数据,其中大部分数据可能是非常敏感的。 ViruS_HimA承诺,他将永远不会共享、出售和发布Adobe和雅虎的用户数据。
此外,他还声称已经找到Adobe、微软、雅虎、谷歌、苹果、Facebook网站的几十个0day漏洞”,但是他已经向相关网站报告他们存在的漏洞。他说:相比其他网站迅速答复和解决的安全漏洞的速度, Adobe是缓慢的,雅虎再也没有给与回应。因此,他决定给他们两个网站一个沉痛的教训,以帮助他们解决安全上存在的缺陷。