日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

當(dāng)有一天，你有機會邂逅所有的gmail郵箱，你會是怎樣的感同身受?

創(chuàng)新互聯(lián)是一家專業(yè)提供南和企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站建設(shè)、網(wǎng)站制作、H5技術(shù)、小程序制作等業(yè)務(wù)。10年已為南和眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進行中。

互聯(lián)網(wǎng)上的每兩三個用戶就會有一個用戶使用Gmail作為郵件服務(wù)提供商，而且gmail郵箱也成為我們在二次元里很關(guān)鍵的社交帳號憑證，諸如鏈接至facebook、twitter以及其他更多網(wǎng)站應(yīng)用，我相信這個你比我更懂。

那么，關(guān)鍵是你是否曾見過世界上所有的Gmail郵箱地址，或者說如果上天許你一個機會，讓你獲得世界上所有的gmail郵箱地址，你會有怎樣的反應(yīng)?

當(dāng)上帝不小心手抖了一下，于是這個蘋果不偏不倚的的砸在了一名叫做“Oren Hafif”的以色列研究人員的頭上。他在Gmail系統(tǒng)中找到了漏洞，從而能夠進一步導(dǎo)出包括內(nèi)部郵箱地址在內(nèi)的所有的gmail郵箱地址。

Oren是從Gmail授權(quán)認(rèn)證系統(tǒng)中發(fā)現(xiàn)這一bug的，它是用來驗證其他人是否與你正在使用的賬戶相同。

這一漏洞實際存在在于Google系統(tǒng)發(fā)送的郵件中的URL，這一郵件是用來驗證其他郵箱地址訪問權(quán)限的。

如上圖郵件所示，在這封郵件中有兩個URL，一個是接受邀請，一個是拒絕。Oren描述了上述的URL：讓我們進一步仔細(xì)研究一下這個請求的URL

https://mail.google.com/mail/mdd-f560c0c4e1-oren.hafif%40gmail.com-bbD8J0t6P6JNOUO36vY6S_pZJy4

***：https://mail.google.com/mail/ ，只是正常映射到Gmail應(yīng)用程序;

第二：/mdd，是映射到郵件認(rèn)證拒絕的servlet;

第三：f560c0c4e1代表什么呢?它看起來像一個token。在這里有一些希望，因為這段鏈接是如此之短，并且讓它是十六進制;

第四：oren.hafif%40gmail.com我的電子郵件地址;

第五：bbD8J0t6P6JNOUO36vY6S_pZJy4代表什么呢?它看起來像blob代碼。這通常是一個不好的信號，意味著Google的HMAC請求的URL將可以應(yīng)用于暴力掃描。

之后，Oren將一有漏洞的URL放入Brute Force Tool中：

他在URL to FUZZ填入/mail/mdd-{dir}-support@google.com-O6xUbWXP7hm8GaZGUetuk5f9vlU。之后，由于他的未授權(quán)請求次數(shù)太多，Google限制了他的訪問，所以他嘗試通過各種手段來旁路連接Google服務(wù)器。當(dāng)然對于完整的演示，你可以參考他的博客或者觀看下面視頻。

當(dāng)然在此期間，Google已經(jīng)修復(fù)了這一漏洞并獎勵Oren 500美元。

新聞標(biāo)題：以色列黑客發(fā)現(xiàn)Gmail漏洞遍歷所有用戶電子郵件地址
當(dāng)前URL：http://www.dlmjj.cn/article/ccsehpd.html