这是国外的研究人员发现的一个问题,我觉得挺有意思的,所以看了一下顺便分享给大家。

一个有意思的发现

用Gmail的朋友可以重点关注一下。国外研究人员James Hfisher发现Gmail对邮箱名中的"."符号是忽略的,也就是说假如你拥有一个Gmail邮箱地址是security@gmail.com,那么你同时拥有这样几个邮箱:

se.c.u.rity@gmail.com

sec.urity@gmail.com

sec.ur.ity@gmail.com

你使用其他邮箱给这三个邮件地址发信,最后都会被同一个邮箱security@gmail.com接收,那么这种策略会带来什么样的风险呢?

首先讲一下James Hfisher是怎么发现这个问题的,他的邮箱jameshfisher@gmail.com最近收到一封Netflix (美国付费视频内容提供商) 发到他邮箱的邮件,但是他发现这封邮件其实和他并没有关系,然后他仔细看了下邮件发给的用户其实是james.hfisher。

大概就是有另外一个用户X在Netflix注册了james.hfisher@gmail.com这样一个账户,然后Netflix把james.hfisher这个账户的信息发到他账户上了。

潜在风险

这个事情里面反映出来一个问题。

一般一些网站对邮件地址里面存在的点符号是敏感区分的,比如Netflix,但是gmail又对这个点符号是不敏感区分的,所以就会导致这个问题。

那么这里面会存在什么风险呢?James Hfisher 根据Netflix的业务逻辑发现这里面可能存在一种欺骗的场景。

  1. 首先James Hfisher会去尝试用一堆gmail.com去遍历注册Netflix的服务,如果提示xxxxx@gmaill.com已被注册了,那么他知道这个账号在Netflix是存在的

  2. 然后他会去Netflix注册一个xxx.xx@gmail.com的账户并开启试用服务

  3. 试用完以后他再取消自己的卡号绑定,这个时候Netflix就会向xxxxx@gmaill.com发送卡号绑定的请求

  4. 这个时候真正的xxxxx@gmaill.com邮箱用户就会以为自己的卡被取消绑定了,然后绑定自己的卡号

  5. 这个时候James Hfisher再利用自己其他的邮箱yyyy@gmail.com去激活绑定xxx.xx@gmail.com这个Netflix账号,然后他就可以一直用了,太鸡贼了

这可能是一个比较通用的问题,建议大家可以看看自己的业务在注册使用逻辑上会不会收这个影响。另外Gmail和Netflix已经知道这个问题,正在考虑解决。

这是一个非常有意思的场景,分享出来就是为了让大家自查并避免自己的业务出现这样的风险。

声明:本文来自安全视点,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。