时隔一年之后，雅虎终于修复了图片处理系统上的SSRF(服务端请求伪造)漏洞。

https://ec、yimg、com/ec?url=http%3A%2F%2Fnahamsec、com%2F2.gif&t=1404282499&sig=gDQqxuPTgioR4SoCGeuIZg–~B

Sadeghipour可以通过向yimg、com发送请求，执行跨站脚本(XSS)攻击。他还可以将请求中的url参数字段替换成自己的url，然后发动SSRF攻击。

hXtps://ec、yimg、com/ec?url=http%3A%2F%2Fnahamsec、com%3A22&t=1412102561&sig=zY7a9hM3xmRYvX05Avis9A–~B

https://ec、yimg、com/ec?url=http%3A%2F%2Flocalhost%3A22&t=1412569827&sig=TyFD2z3x5eqUWlF1PtgMKA–~B

该漏洞属于中危漏洞，但是其危害程度却不小。攻击者利用它可以访问本地网络，甚至还可以查看本地设备或者远程设备有哪个端口是打开的。