新业务引起的邮箱爆破

最近上邮箱看邮件时,发现一个有趣的功能,叫做“代收邮件”、或者叫“其他邮箱”、或者叫“一箱多邮”等等。基本上,国内各个邮件服务,只要是新潮一点的,都互相学习,加入了这个有前途的功能。不管你有多少个邮箱,来我这里,我都可以帮你管着,免得你到处登陆,表面上是“为用户着想”,其实也包含抢客户的意思。

有登陆,就有安全,在别的登陆口,又是变态的验证码,又是登陆次数限制的,都为了防爆。现在来了新的业务,是不是也考虑到这些因素呢?

看张图(三个业务对比):

未命名.gif

web管理,POP+SMTP管理,这两个业务都有登陆口,要防止暴力破解,POP的可以用登陆次数,WEB登陆可以用验证码。

现在有了这个新业务,让用户提交“自己的”其他邮箱,用户名密码表单给“一箱多邮”这个web应用,该应用除了要代收其他邮件服务商的邮件外,也代收用户在自己这里注册的多个邮箱。

站在邮件服务网站的角度上考虑,这个业务需要有台web应用服务器,发送密码到邮件服务器那里登陆。对于邮件服务器来说,无论是什么用户,所有的登陆IP,都是这台web应用服务器,这个IP即使多次登陆不成功,你敢封么?如果封了,业务就完蛋了。所以,只能单独设计一个登陆接口,供这个web应用使用。

其实这里也是web登陆,应该是有验证码的,但是不知道是因为照抄还是用户体验等什么原因,大家都没有设置验证码。

就拿QQ来说,早年的远程暴力破解工具都用不了了,因为有验证码等变态设施,可惜它现在有了“其他邮箱”这个功能,我们知道QQ和邮箱是绑定的,破了邮箱密码,就等于破了QQ

2.gif

这个功能需要登录后,才能用,只要不断的提交post表单,就能形成爆破。抓包,分析,写了个工具,象征性的跑了几个密码(经测试,不限个数):

3.gif

唯一麻烦的就是有个taskid要每次获取,嗯。。。不多说了,你自己抓包就知道了。当然,现在QQ已经补了,其他邮箱就不知道了。

 

剩下的废话

新的业务,肯定会带来新的安全问题,安全应该能够监控到所有的新业务,同时能联系到以往的安全方案,否则经常会把以前的安全策略,捅个窟窿,忙于救火。在偷学别人业务的时候,也不要只看表面,并不是他们不安全,我们就允许不安全的。

 

发表评论?

2 条评论。

  1. 爽!非常爽!日!还要加字

  2. 好熟悉的集成开发环境界面呀!! 难不成是eclipse?

发表评论