Yahoo! là trang web được truy cập nhiều thứ tư thế giới hiện nay. Đã có nhiều lỗ hổng bảo mật được tìm ra trên trang web này, và mới đây, một hacker tuyên bố phát hiện ra một lỗ hổng nghiêm trọng ở tên miền con suggestions.yahoo.com, cho phép anh ta xóa tất cả các bài viết và bình luận được lưu trong cơ sở dữ liệu.
Nhà nghiên cứu bảo mật người Ai Cập, Ibrahim Raafat, đã tìm thấy và chứng minh lỗ hổng trên của Yahoo! trong trang blog cá nhân của mình.
Việc khai thác “leo thang đặc quyền” cho phép Ibrahim Raafat xóa hơn 365,000 bài viết và khoảng 1,155,000 bình luận trong cơ sở dữ liệu của Yahoo! Chi tiết kỹ thuật khai thác được mô tả như sau:
Xóa bình luận: khi xóa bình luận của mình, Ibrahim đã để ý đến HTTP Header của gói tin gửi đi:
prop=addressbook