流行的google郵件服務(wù)——gmail——已經(jīng)被曝光出現(xiàn)了一個重大的安全漏洞,并且可導(dǎo)致黑客能夠提取谷歌數(shù)據(jù)庫中每一個用戶的郵件地址。其實早在去年的時候,一名“滲透”方面的安全專家——orenhafif——就已經(jīng)發(fā)現(xiàn)了這點,并且證實可以在編輯gmail“rejectionconfirmed”頁面的時候,操縱冷僻的“賬戶分享”功能。
當(dāng)拒絕訪問一個共享賬戶,并改動頁面url中的1個字符之后,hafif發(fā)現(xiàn)自己可以讓頁面告訴他“已被拒絕進入另一個郵件地址”。
通過使用一款名叫“dirbuster”的黑客暴力程序,hafif將改動字符的流程變成了自動式的。在隨后的2個小時內(nèi),他順利地將37000個gmail地址保存到了一個文本文件中。
由此看來,這種方法確實可以提取出個人的郵件地址。鑒于這個問題長期未能得到修復(fù),hafif已于本周二發(fā)表了一篇博文和視頻,并且知會了wired:
“其實我可以把提取的工作不停地做下去。我有充分的理由相信,每一個gmail都有可能已經(jīng)被別有用心的人‘開采’過了”。
hafif表示,這項技術(shù)可能被用于查看google郵件托管服務(wù)上任何人的郵件地址。在他測試的某一時刻,google探測到了他的舉動,并且組織了他的訪問。
不過hafif只需簡單地修改url中的另一個字符,就可以把這個流程繼續(xù)進行下去了。
當(dāng)然,盡管單獨的郵件地址尚不能用于直接的賬戶訪問,但是成千上萬的名單可能會被出售給垃圾郵件發(fā)送者或網(wǎng)絡(luò)釣魚者牟利。
最后,值得慶幸的是,很多人或許從來不知道這個漏洞曾經(jīng)存在過,因為google已經(jīng)把這個漏洞補上了。
北京金恒智能系統(tǒng)工程技術(shù)有限責(zé)任公司 版權(quán)所有 Copyright 2007-2020 by Create-china.com.cn Inc. All rights reserved.
法律聲明:未經(jīng)許可,任何模仿本站模板、轉(zhuǎn)載本站內(nèi)容等行為者,本站保留追究其法律責(zé)任的權(quán)利!
電話:86+10-62104277/2248/4249 傳真:86+10-62104193-819 京ICP備10010038號-2網(wǎng)站XML
智慧機房
在線體驗