Quando compiliamo una form per la registrazione di un account Yahoo! ci viene chiesto di riempire i campi riguardanti informazioni personali come il nome e cognome reale, la username che vogliamo utilizzare e un indirizzo email alternativo.
Queste informazioni vengono caricate nella fase di login e trasferite, attraverso la variabile ".data" che contiene una stringa codificata in base64, ai servizi e alle pagine del portale tutte le volte che le visitiamo, fino al logout. Una sorta di "pass temporaneo" che contiene informazioni personali sull'utente loggato.
La richiesta di validazione della sessione con trasferimento della stringa codificata in base64 entra in gioco solo se viene specificata la variabile ".pc" assegnadogli il valore "5134" seguito dall'url della pagina web di destinazione (l'indirizzo deve necessariamente appartenere a Yahoo!).
https://login.yahoo.com/config/validate?.src=ym&.pc=5134&.done=http://www.yahoo.com
Ecco il risultato:
http://www.yahoo.com/?.data=LnlpZCUzZ(stringa-base64)
Attraverso un redirect insolito "uk.wrs.yahoo.com" è possibile dirottare le informazioni verso un'altro indirizzo in modo da registrare i valori trasmessi per poi decodificarli un semplice script php come questo fornito da Matteo:
<?php

if(count($_GET)>0)
{
foreach($_GET as $k => $var)
{
echo $k.' => '.(urldecode(base64_decode(
$var)));
echo '<br />';
}
}
?>

Ringrazio RSnake per essersi preso cura dell'exploit e per aver creato una pagina dimostrativa.