这是国外的研究人员发现的一个问题,我觉得挺有意思的,所以看了一下顺便分享给大家。
一个有意思的发现
用Gmail的朋友可以重点关注一下。国外研究人员James Hfisher发现Gmail对邮箱名中的"."符号是忽略的,也就是说假如你拥有一个Gmail邮箱地址是security@gmail.com,那么你同时拥有这样几个邮箱:
se.c.u.rity@gmail.com
sec.urity@gmail.com
sec.ur.ity@gmail.com
你使用其他邮箱给这三个邮件地址发信,最后都会被同一个邮箱security@gmail.com接收,那么这种策略会带来什么样的风险呢?
首先讲一下James Hfisher是怎么发现这个问题的,他的邮箱jameshfisher@gmail.com最近收到一封Netflix (美国付费视频内容提供商) 发到他邮箱的邮件,但是他发现这封邮件其实和他并没有关系,然后他仔细看了下邮件发给的用户其实是james.hfisher。
大概就是有另外一个用户X在Netflix注册了james.hfisher@gmail.com这样一个账户,然后Netflix把james.hfisher这个账户的信息发到他账户上了。
潜在风险
这个事情里面反映出来一个问题。
一般一些网站对邮件地址里面存在的点符号是敏感区分的,比如Netflix,但是gmail又对这个点符号是不敏感区分的,所以就会导致这个问题。
那么这里面会存在什么风险呢?James Hfisher 根据Netflix的业务逻辑发现这里面可能存在一种欺骗的场景。
首先James Hfisher会去尝试用一堆gmail.com去遍历注册Netflix的服务,如果提示xxxxx@gmaill.com已被注册了,那么他知道这个账号在Netflix是存在的
然后他会去Netflix注册一个xxx.xx@gmail.com的账户并开启试用服务
试用完以后他再取消自己的卡号绑定,这个时候Netflix就会向xxxxx@gmaill.com发送卡号绑定的请求
这个时候真正的xxxxx@gmaill.com邮箱用户就会以为自己的卡被取消绑定了,然后绑定自己的卡号
这个时候James Hfisher再利用自己其他的邮箱yyyy@gmail.com去激活绑定xxx.xx@gmail.com这个Netflix账号,然后他就可以一直用了,太鸡贼了
这可能是一个比较通用的问题,建议大家可以看看自己的业务在注册使用逻辑上会不会收这个影响。另外Gmail和Netflix已经知道这个问题,正在考虑解决。
这是一个非常有意思的场景,分享出来就是为了让大家自查并避免自己的业务出现这样的风险。
声明:本文来自安全视点,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
