暴力枚举Gmail邮箱地址的新姿势
本文將介紹一種比較經典的枚舉用戶Gmail郵箱地址的新思路,這種思路可以檢索成千上萬個Gmail郵箱地址。
我偶然發現一個小故障,允許我大量猜測現有的且可能是未知的Google帳戶地址。
免責聲明:本文介紹的方法可能只是一個沒有進行合理限制的接口,沒有什么太花哨的姿勢,所以如果你正在尋找一些比較6的0day,請繞道。
?小故障
https://mail.google.com/mail/gxlu這個網址沒有對請求次數做任何限制。另外,我注意到,提供不存在的用戶或電子郵件會觸發來自服務器的不同的HTTP響應標頭。例如這里有一個有效的存在的帳戶,請求后你會得到如下響應信息:
如果是一個不存在的賬戶,請求后響應信息是下圖這樣的:
這兩個請求的HTTP響應狀態碼都是204并且都沒有響應體,但是一個已經存在的帳戶對應的請求,服務器會在響應信息中添加一個Set-Cookie頭。
猜測有效地址
有了上面的發現,顯然我可以決定利用一個Python腳本來濫用這個接口。
利用的主要思路是查找可能存在的firstname.lastname@gmail.com這樣的格式的郵箱地址。
第一步:獲取已知名字和姓氏的列表。感謝Facebook和2010年的信息泄漏,這些列表都是公開的。另一個想法是使用randomuser.me?生成假的人名,并檢查它們是否可以匹配到一個現有的存在的帳戶。
這樣我就可以猜測一個電子郵箱地址是否有效可用了,每天猜測到的有效電子郵件地址大約有40,000個,而且這還只是一個比較笨拙的未優化過的PoC。
為什么會造成隱私威脅?
本文所述的漏洞的問題在于這些郵箱地址中的很大一部分是公眾不知道的。人們可能希望讓自己的隱私得到更多的尊重,而不是被漫天的垃圾郵件騷擾,對吧?
這個威脅可以輕易的限制暴力猜解:驗證碼或請求速率限制等等。您已經在大多數的Google服務中獲得了這些保護,以洋蔥網絡中的Google為例,有無處不在的captchas服務驗證!
不公開的電子郵件的知名度有多大?
我使用https://haveibeenpwned.com/?這個網站的API檢查了已經被破解過的郵箱地址。這個想法是為了獲得這些隨機和有效的電子郵件地址在某個泄漏的數據庫中的概率。有趣的是,結果不是很理想!
只有8.41%的測試郵件地址在這些已經被泄露的數據庫中找到。還值得注意的是,我所得到的所有的電子郵件現在都不一定是活動的,我的列表中可能包含了一些舊的和未使用的電子郵件地址。以下是電子郵件最有可能發生泄露的網站:
?River?City?Media垃圾郵件列表(4,98%) SC?Daily?Phone垃圾郵件列表(2,63%) LinkedIn(2,46%) Dropbox(?1.52%) MySpace(1,37%) Adobe(1,33%) 現代商業解決方案(1,14%) Special?K?Data?Feed?Feed垃圾郵件列表(1,01%) Tumblr(0,73?%) Last.fm(0,51%)影響
這個小故障可能被惡意攻擊者利用:可能會涉及到這么一些情況——在最好的情況下,可能是游戲營銷活動(接收到未經請求的電子郵件),更糟糕的情況是,像平時一樣經常發生的網絡釣魚和勒索軟件攻擊。
Google的答復
02/03/2017 14:54:00(UTC + 1):聯系Google報告此問題
02/03/2017 17:13:00(UTC + 1):Google回復“您的報告已被分類,我們正在審核“?
02/03/2017 17:27:00(UTC + 1):Google回復”決定將此問題分派到處理類似問題的團隊“?
22/03/2017 00:56:00(UTC + 1):Google回復“我們沒有忘記你的報告;?”
31/03/2017 16:29:00(UTC + 1):Google決定不把此問題歸類為一個安全漏洞。
原文發布時間為:2017年4月11日 本文作者:絲綢之路 本文來自云棲社區合作伙伴嘶吼,了解相關信息可以關注嘶吼網站。 原文鏈接
總結
以上是生活随笔為你收集整理的暴力枚举Gmail邮箱地址的新姿势的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Windows下的random_devi
- 下一篇: DL-tudo