本文講的是暴力枚舉Gmail郵箱地址的新姿勢，

本文將介紹一種比較經(jīng)典的枚舉用戶Gmail郵箱地址的新思路，這種思路可以檢索成千上萬個Gmail郵箱地址。

我偶然發(fā)現(xiàn)一個小故障，允許我大量猜測現(xiàn)有的且可能是未知的Google帳戶地址。

免責(zé)聲明：本文介紹的方法可能只是一個沒有進行合理限制的接口，沒有什么太花哨的姿勢，所以如果你正在尋找一些比較6的0day，請繞道。

?小故障

https://mail.google.com/mail/gxlu這個網(wǎng)址沒有對請求次數(shù)做任何限制。另外，我注意到，提供不存在的用戶或電子郵件會觸發(fā)來自服務(wù)器的不同的HTTP響應(yīng)標(biāo)頭。例如這里有一個有效的存在的帳戶，請求后你會得到如下響應(yīng)信息：

如果是一個不存在的賬戶，請求后響應(yīng)信息是下圖這樣的：

這兩個請求的HTTP響應(yīng)狀態(tài)碼都是204并且都沒有響應(yīng)體，但是一個已經(jīng)存在的帳戶對應(yīng)的請求，服務(wù)器會在響應(yīng)信息中添加一個Set-Cookie頭。

猜測有效地址

有了上面的發(fā)現(xiàn)，顯然我可以決定利用一個Python腳本來濫用這個接口。

利用的主要思路是查找可能存在的firstname.lastname@gmail.com這樣的格式的郵箱地址。

第一步：獲取已知名字和姓氏的列表。感謝Facebook和2010年的信息泄漏，這些列表都是公開的。另一個想法是使用randomuser.me?生成假的人名，并檢查它們是否可以匹配到一個現(xiàn)有的存在的帳戶。

這樣我就可以猜測一個電子郵箱地址是否有效可用了，每天猜測到的有效電子郵件地址大約有40,000個，而且這還只是一個比較笨拙的未優(yōu)化過的PoC。

為什么會造成隱私威脅？

本文所述的漏洞的問題在于這些郵箱地址中的很大一部分是公眾不知道的。人們可能希望讓自己的隱私得到更多的尊重，而不是被漫天的垃圾郵件騷擾，對吧？
這個威脅可以輕易的限制暴力猜解：驗證碼或請求速率限制等等。您已經(jīng)在大多數(shù)的Google服務(wù)中獲得了這些保護，以洋蔥網(wǎng)絡(luò)中的Google為例，有無處不在的captchas服務(wù)驗證！

不公開的電子郵件的知名度有多大？

我使用https://haveibeenpwned.com/?這個網(wǎng)站的API檢查了已經(jīng)被破解過的郵箱地址。這個想法是為了獲得這些隨機和有效的電子郵件地址在某個泄漏的數(shù)據(jù)庫中的概率。有趣的是，結(jié)果不是很理想！

只有8.41％的測試郵件地址在這些已經(jīng)被泄露的數(shù)據(jù)庫中找到。還值得注意的是，我所得到的所有的電子郵件現(xiàn)在都不一定是活動的，我的列表中可能包含了一些舊的和未使用的電子郵件地址。以下是電子郵件最有可能發(fā)生泄露的網(wǎng)站：

?River?City?Media垃圾郵件列表（4,98％） SC?Daily?Phone垃圾郵件列表（2,63％） LinkedIn（2,46％） Dropbox（?1.52％） MySpace（1,37％） Adobe（1,33％） 現(xiàn)代商業(yè)解決方案（1,14％） Special?K?Data?Feed?Feed垃圾郵件列表（1,01％） Tumblr（0,73?％） Last.fm（0,51％）

影響

這個小故障可能被惡意攻擊者利用：可能會涉及到這么一些情況——在最好的情況下，可能是游戲營銷活動（接收到未經(jīng)請求的電子郵件），更糟糕的情況是，像平時一樣經(jīng)常發(fā)生的網(wǎng)絡(luò)釣魚和勒索軟件攻擊。

Google的答復(fù)

02/03/2017 14:54:00（UTC + 1）：聯(lián)系Google報告此問題
02/03/2017 17:13:00（UTC + 1）：Google回復(fù)“您的報告已被分類，我們正在審核“?
02/03/2017 17:27:00（UTC + 1）：Google回復(fù)”決定將此問題分派到處理類似問題的團隊“?
22/03/2017 00:56:00（UTC + 1）：Google回復(fù)“我們沒有忘記你的報告;?”
31/03/2017 16:29:00（UTC + 1）：Google決定不把此問題歸類為一個安全漏洞。

原文發(fā)布時間為：2017年4月11日 本文作者：絲綢之路 本文來自云棲社區(qū)合作伙伴嘶吼，了解相關(guān)信息可以關(guān)注嘶吼網(wǎng)站。 原文鏈接

總結(jié)

以上是生活随笔為你收集整理的暴力枚举Gmail邮箱地址的新姿势的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。