如何确认Google用户的具体电子邮件地址

最新推荐文章于 2022-10-23 09:50:19 发布
最新推荐文章于 2022-10-23 09:50:19 发布
阅读量1.3k 收藏
点赞数
文章标签: 人工智能 javascript ViewUI
原文链接:https://yq.aliyun.com/articles/214841
版权
本文讲的是 如何确认Google用户的具体电子邮件地址

如何确认Google用户的具体电子邮件地址

我最近向Google报告了一个漏洞,该漏洞允许攻击者确认网页的访问者是否登录到其它利用Google帐户(包括GSuite帐户)登录的网站,并且每25秒可以检查约1000个电子邮件地址。 

首先,先看一个PoC的视频,告诉你我是如何利用一个帐户(我自己的账户)来识别出20个帐户的:

 

确认方法

我以前写过一篇关于确定用户是否登录到某个社交网络的文章,而本文所讲述的是这种方法的一个改造和升级。

Google登录页面通常会在用户完成登录后,在用户重定向到目的地的URL中传递一个continue参数。但是,如果你已经登录,那么你将立即重定向到continue参数中指定的URL。

可以利用这个方法制作一个URL,该URL将重定向登录到图像文件的用户,并尝试没有使用登录页面登录的用户。如果现在将此URL用作img标签中的src元素,则可以使用Javascript onload和onerror函数来确定图像是否被正确加载。

如果图像被加载,则代表用户登录;如果加载错误,那么用户没有登录。然而,随着技术的发展,这个方法还衍生出来很多类似的做法,比如,攻击者还可以通过指定电子邮件地址的附加参数来确认用户是否登录。如果电子邮件匹配,则重定向会触发,否则不会。

这样,攻击者就可以动态地创建图像标签的载荷而无需将它们添加到页面,并且等待匹配就可以了。在我的测试中,我可以每23-24秒左右检查大约1000封电子邮件。如果你也想测试,只需要几分钟,那么你可以检查数千封相关的电子邮件了。

攻击者通过结合其他方式就可以识别用户,比如,通过IP确定用户的地理位置或以非常有针对性的社交广告识别用户的公司网络,总之还有许多其他方法来定位用户。你可以动态加载目标列表,然后,根据请求匹配这些人,并记录他们的IP地址,位置,设备和各种其他信息。

如果感兴趣,你可以使用上述方法实施一些动态的鱼叉式网络钓鱼(Spear phishing)攻击。

漏洞披露时间表

7月14日 – 我通过官方渠道的形式向Google安全小组进行了报告。

7月17日 – 我听说它被分类处理。

7月18日 – Google安全小组,询问我处理这个漏洞的建议是什么。

7月18日 – 我提出了通过电子邮件的随机数或加盐哈希的方法,以便重定向时,只能与该哈希和电子邮件的组合一起使用。

7月19日 – 安全小组确认这个问题为漏洞并向总部提交。

7月21日 – 我通过我的博客继续对该漏洞进行了补充说明。

8月9日  – Google团队告诉我,经过讨论,他们不认为这是漏洞,而仅仅是个预期行为(intended behaviour)。所以,他们至今还没有采取什么处理行动。

但是,我认为这就是个漏洞,因为利用它已经能发现具体的攻击目标了。




原文发布时间为:2017年8月15日
本文作者:xiaohui
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
weixin_34018169
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
发送到谷歌邮箱的邮件在哪找_如何让Google表格为您发送个性化电子邮件
weixin_26746861的博客
07-16 6668
发送到谷歌邮箱的邮件在哪找Have you ever needed to send an email out to a group of people and wanted to personalize the greeting for each person? Oh, and you didn’t want to have to individually send out the same em...
Google查看别人的邮件
净心编程
06-03 2340
300) {this.resized=true; this.width=300;}" />  声明:以下方法来自fluxiontech,供仅个人娱乐,请勿用于其它用途。  我们都知道Google的搜索功能异常强大,它允许多种操作运算符号,如果你运用得当,可以实现很多意想不到的功能。一直以来,网络上都有人专门针对Google搜索写了一大堆破解技巧(虽然大同小异),这说明Google搜索还有很多好玩的
查看 gmail 办法_如何在Gmail对话主题上查看电子邮件
cum44153的博客
10-06 4129
查看 gmail 办法Gmail’s conversation view was groundbreaking when it appeared 15 years ago, but it always shows new messages on the bottom of the thread instead of the top. That’s annoying to some long-tim...
How to Verify Email Address
weixin_33700350的博客
11-17 3375
http://www.ruanyifeng.com/blog/2017/06/smtp-protocol.html如何验证 Email 地址:SMTP 协议入门教程 https://en.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol Simple Mail Transfer Protocol How to Verify Em...
谷歌邮箱SMTP小白教程
qq_41926008的博客
10-23 1万+
Laravel使用谷歌邮箱Gmail的SMTP服务做邮件发送
VC++ Email电子邮件收发客户端.rar
08-18
本示例聚焦于使用VC++(Visual C++)实现电子邮件的收发功能,这涉及到SMTP(Simple Mail Transfer Protocol)用于发送邮件,以及POP3(Post Office Protocol version 3)或IMAP4(Internet Message Access Protocol...
基于Firebase的oauth:具有React和Firebase的电子邮件Google Auth
02-15
【标题】基于Firebase的OAuth:使用React和Firebase的电子邮件Google身份验证 在现代Web开发中,用户身份验证是至关重要的部分,它确保了应用程序的安全性。本教程将深入探讨如何利用Firebase的OAuth功能,结合...
Java SMTP协议电子邮件传送剖析
12-25
Java SMTP协议电子邮件传送剖析 在Java编程环境中,发送电子邮件是一个常见的任务,这通常涉及到使用SMTP(Simple Mail Transfer Protocol)协议。SMTP是互联网上用于传输邮件的标准协议,它定义了邮件服务器之间...
nordscraper:MEAN stack网络应用程序,每天早晨通过电子邮件将新的Nordstrom Rack清除项目通过电子邮件发送给用户
05-07
【nordscraper】是一个基于MEAN(MongoDB、Express、AngularJS、Node.js)栈的网络应用程序,其主要功能是自动搜集Nordstrom Rack的清仓项目,并在每天早晨通过电子邮件将这些信息发送给订阅的用户。这个项目对于...
设置小米内置电子邮件-登录QQ邮箱
04-30
在使用小米手机时,内置的电子邮件功能允许用户配置并连接各种邮箱服务,包括QQ邮箱。Android系统的强大之处在于它能够支持多种邮箱应用,而小米手机则预装了两款电子邮箱应用,一款是与谷歌账户关联的原生系统邮箱...
Google 根据用户地理位置和搜索历史定制搜索结果
COMSHARP CMS 专栏
07-31 731
 Google 星期三通过官方博客透露,他们开始根据用户的地理位置与搜索历史,为用户定制搜索结果。博文的作者 Rachel Garb 是 Google 的一名产品经理,他说,“这项新功能可以帮助你理解 Google 是如何定制你的搜索结果的。”Google 通过三个因素对搜索结果进行定制:地理位置:根据 IP 地址,或用户Google 帐户设置的地址信息,Google 将获悉用
如何设置Google Family共享您的Google服务
culunxun2863的博客
09-14 2003
If you pay for a book on Google Play Books, your significant other should be able to read it, too. The same goes for movies, music, and even apps or games—if you make a purchase, everyone in the famil...
gmail 邮箱服务器,gmail邮箱设置
weixin_27064205的博客
07-30 1万+
gmail邮箱设置[编辑]概述gmail邮箱是一款直观、高效、实用的电子邮件应用。可以永久保留重要的邮件、文件和图片,使用搜索快速、轻松地查找任何需要的内容。一、邮箱设置1、选择邮件-选项-设置-电子邮件-邮箱。2、从未设置过电子邮件,请选择"是"定义新邮箱。已经有其他的邮箱,请依次选择"选项"和"新建邮箱"。3、选择"开始"可以开始设置向导。4、依次选择"IMAP4"和"下一步"。5、输入 Gm...
账号“此电话号码无法用于进行验证“
热门推荐
weixin_41790566的博客
07-31 36万+
报错:手机号无法进行验证
谷歌邮箱网站地址
真实店铺的博客
09-06 1万+
谷歌邮箱网站地址 https://mail.google.com/mail/u/0/?pli=1#inbox
在国内如何使用gmail_如何在Gmail中查找存档的电子邮件
09-24 4443
在国内如何使用gmailDeleting emails from your Gmail account is final—they’re lost forever once you empty your trash folder. If you want to hide emails, rather than delete them, you can archive the messages in...
google hdr+_Google+现在允许人们给您发送电子邮件; 在这里了解如何退出
cum44153的博客
09-27 7327
google hdr+Google just announced a new feature where Google+ acts as a bridge between the social network and your personal email. Anyone who follows you on Google+ can now email you directly. If this ...
GItHub频繁验证邮箱?Please verify your email address????
无知是恶
04-28 1万+
GitHub为了防止垃圾信息,对国内的某些邮箱,比如QQ邮箱,就会经常Please verify your email address。 解决方法是注册一个国外邮箱,比如换一个微软邮箱谷歌邮箱。 在GitHub邮箱设置 中增加新邮箱地址,然后删除掉原来注册的国内邮箱。 最后记得重新设置Git新邮箱地址,在你的Gitbash运行 git config --global user.email "你的......
谷歌账号电子邮件怎么改_如何使用Google仅搜索您的电子邮件,事件和其他内容...
cum44153的博客
09-20 2040
谷歌账号电子邮件怎么改You probablyuse Google search to find out everything from movie showtimes to how tall Jeff Goldblum is. However, you can alsouse the regular Google search page to find your emails, calend...
3. 创建一个用于填写用户资料的表单,要求使用Spry 表单验证构件对用户输入的用户名、登录密码、确认密码、出生日期及电子邮件地址等进行验证。以及运行结果
最新发布
06-07
具体来说,它要求用户名和密码字段必填且长度在一定范围内,确认密码字段必须与密码字段相同,出生日期和电子邮件地址字段必填且符合相应的格式要求。 运行结果可以通过在浏览器中打开该HTML文件进行查看和测试。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值