开发者社区> 玄学酱> 正文

暴力枚举Gmail邮箱地址的新姿势

简介: 本文讲的是暴力枚举Gmail邮箱地址的新姿势,本文将介绍一种比较经典的枚举用户Gmail邮箱地址的新思路,这种思路可以检索成千上万个Gmail邮箱地址。
+关注继续查看
本文讲的是暴力枚举Gmail邮箱地址的新姿势

暴力枚举Gmail邮箱地址的新姿势

本文将介绍一种比较经典的枚举用户Gmail邮箱地址的新思路,这种思路可以检索成千上万个Gmail邮箱地址。

我偶然发现一个小故障,允许我大量猜测现有的且可能是未知的Google帐户地址。

免责声明:本文介绍的方法可能只是一个没有进行合理限制的接口,没有什么太花哨的姿势,所以如果你正在寻找一些比较6的0day,请绕道。

 小故障

https://mail.google.com/mail/gxlu这个网址没有对请求次数做任何限制。另外,我注意到,提供不存在的用户或电子邮件会触发来自服务器的不同的HTTP响应标头。例如这里有一个有效的存在的帐户,请求后你会得到如下响应信息:

暴力枚举Gmail邮箱地址的新姿势

如果是一个不存在的账户,请求后响应信息是下图这样的:

暴力枚举Gmail邮箱地址的新姿势

这两个请求的HTTP响应状态码都是204并且都没有响应体,但是一个已经存在的帐户对应的请求,服务器会在响应信息中添加一个Set-Cookie头。

猜测有效地址

有了上面的发现,显然我可以决定利用一个Python脚本来滥用这个接口。

利用的主要思路是查找可能存在的firstname.lastname@gmail.com这样的格式的邮箱地址。

第一步:获取已知名字和姓氏的列表。感谢Facebook2010年的信息泄漏,这些列表都是公开的。另一个想法是使用randomuser.me 生成假的人名,并检查它们是否可以匹配到一个现有的存在的帐户。

这样我就可以猜测一个电子邮箱地址是否有效可用了,每天猜测到的有效电子邮件地址大约有40,000个,而且这还只是一个比较笨拙的未优化过的PoC

为什么会造成隐私威胁?

本文所述的漏洞的问题在于这些邮箱地址中的很大一部分是公众不知道的。人们可能希望让自己的隐私得到更多的尊重,而不是被漫天的垃圾邮件骚扰,对吧?
这个威胁可以轻易的限制暴力猜解:验证码或请求速率限制等等。您已经在大多数的Google服务中获得了这些保护,以洋葱网络中的Google为例,有无处不在的captchas服务验证!

不公开的电子邮件的知名度有多大?

我使用https://haveibeenpwned.com/ 这个网站的API检查了已经被破解过的邮箱地址。这个想法是为了获得这些随机和有效的电子邮件地址在某个泄漏的数据库中的概率。有趣的是结果不是很理想!

只有8.41的测试邮件地址在这些已经被泄露的数据库中找到。还值得注意的是,我所得到的所有的电子邮件现在都不一定是活动的,我的列表中可能包含了一些旧的和未使用的电子邮件地址。以下是电子邮件最有可能发生泄露的网站:

 River City Media垃圾邮件列表(4,98%)
SC Daily Phone垃圾邮件列表(2,63%)
LinkedIn(2,46%)
Dropbox( 1.52%)
MySpace(1,37%)
Adobe(1,33%)
现代商业解决方案(1,14%)
Special K Data Feed Feed垃圾邮件列表(1,01%)
Tumblr(0,73 %)
Last.fm(0,51%)

影响

这个小故障可能被恶意攻击者利用:可能会涉及到这么一些情况——在最好的情况下,可能是游戏营销活动(接收到未经请求的电子邮件),更糟糕的情况是,像平时一样经常发生的网络钓鱼和勒索软件攻击。

Google的答复

02/03/2017 14:54:00UTC + 1):联系Google报告此问题
02/03/2017 17:13:00UTC + 1):Google回复您的报告已被分类,我们正在审核“ 
02/03/2017 17:27:00UTC + 1):Google回复决定将此问题分派到处理类似问题的团队“ 
22/03/2017 00:56:00UTC + 1):Google回复“我们没有忘记你的报告
31/03/2017 16:29:00UTC + 1):Google决定不把此问题归类为一个安全漏洞。




原文发布时间为:2017年4月11日
本文作者:丝绸之路
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
14279 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
29169 0
Win10秘笈:两种方式修改网卡物理地址(MAC)
每台能够上网的电脑都有网卡,不管是有线还是无线,网卡本身都得有物理地址,也就是MAC(Media Access Control 或 Medium Access Control)地址。
1330 0
搭建web邮箱extmail
环境:Centos5,extmail的依赖包很多,对环境要求比较苛刻,所以建议在Centos5上安装。 本次主机名为:centos.mail.com      域名:jinnicat.com  官方参考文档:http://http://wiki.extmail.org/extmail_solution_for_centos-5 视频参考:http://www.tudou.com/programs/view/Zct0ANsC0UI/ 1、制作EMOS yum源。
2375 0
视频直播生成推流和播放地址的PHP代码示例
直播推流地址和播放地址本身没有API接口,需要在客户端自行拼接地址,然后使用推流工具或者播放器对其推流或播放。本文主要介绍如何生成直播的推流以及播放地址(PHP示例代码)
811 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20683
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载