暴力枚舉Gmail郵箱地址的新姿勢

01-26

本文將介紹一種比較經典的枚舉用戶Gmail郵箱地址的新思路，這種思路可以檢索成千上萬個Gmail郵箱地址。

我偶然發現一個小故障，允許我大量猜測現有的且可能是未知的Google帳戶地址。

免責聲明：本文介紹的方法可能只是一個沒有進行合理限制的介面，沒有什麼太花哨的姿勢，所以如果你正在尋找一些比較6的0day，請繞道。??

小故障

https://mail.google.com/mail/gxlu這個網址沒有對請求次數做任何限制。另外，我注意到，提供不存在的用戶或電子郵件會觸發來自伺服器的不同的HTTP響應標頭。例如這裡有一個有效的存在的帳戶，請求後你會得到如下響應信息：

如果是一個不存在的賬戶，請求後響應信息是下圖這樣的：

這兩個請求的HTTP響應狀態碼都是204並且都沒有響應體，但是一個已經存在的帳戶對應的請求，伺服器會在響應信息中添加一個Set-Cookie頭。

猜測有效地址

有了上面的發現，顯然我可以決定利用一個Python腳本來濫用這個介面。

利用的主要思路是查找可能存在的firstname.lastname@gmail.com這樣的格式的郵箱地址。

第一步：獲取已知名字和姓氏的列表。感謝Facebook和2010年的信息泄漏，這些列表都是公開的。另一個想法是使用randomuser.me 生成假的人名，並檢查它們是否可以匹配到一個現有的存在的帳戶。

這樣我就可以猜測一個電子郵箱地址是否有效可用了，每天猜測到的有效電子郵件地址大約有40,000個，而且這還只是一個比較笨拙的未優化過的PoC。

為什麼會造成隱私威脅？

本文所述的漏洞的問題在於這些郵箱地址中的很大一部分是公眾不知道的。人們可能希望讓自己的隱私得到更多的尊重，而不是被漫天的垃圾郵件騷擾，對吧？

這個威脅可以輕易的限制暴力猜解：驗證碼或請求速率限制等等。您已經在大多數的Google服務中獲得了這些保護，以洋蔥網路中的Google為例，有無處不在的captchas服務驗證！

不公開的電子郵件的知名度有多大？

我使用Have I been pwned? Check if your email has been compromised in a data breach 這個網站的API檢查了已經被破解過的郵箱地址。這個想法是為了獲得這些隨機和有效的電子郵件地址在某個泄漏的資料庫中的概率。有趣的是，結果不是很理想！

只有8.41％的測試郵件地址在這些已經被泄露的資料庫中找到。還值得注意的是，我所得到的所有的電子郵件現在都不一定是活動的，我的列表中可能包含了一些舊的和未使用的電子郵件地址。以下是電子郵件最有可能發生泄露的網站：

River City Media垃圾郵件列表（4,98％）SC Daily Phone垃圾郵件列表（2,63％）LinkedIn（2,46％）Dropbox（ 1.52％）MySpace（1,37％）Adobe（1,33％）現代商業解決方案（1,14％）Special K Data Feed Feed垃圾郵件列表（1,01％）Tumblr（0,73 ％）Last.fm（0,51％）

影響

這個小故障可能被惡意攻擊者利用：可能會涉及到這麼一些情況——在最好的情況下，可能是遊戲營銷活動（接收到未經請求的電子郵件），更糟糕的情況是，像平時一樣經常發生的網路釣魚和勒索軟體攻擊。

Google的答覆

02/03/2017 14:54:00（UTC + 1）：聯繫Google報告此問題

02/03/2017 17:13:00（UTC + 1）：Google回復「您的報告已被分類，我們正在審核「

02/03/2017 17:27:00（UTC + 1）：Google回復」決定將此問題分派到處理類似問題的團隊「

22/03/2017 00:56:00（UTC + 1）：Google回復「我們沒有忘記你的報告; 」

31/03/2017 16:29:00（UTC + 1）：Google決定不把此問題歸類為一個安全漏洞。

本文參考來源於blog.0day.rocks，如若轉載，請註明來源於嘶吼：暴力枚舉Gmail郵箱地址的新姿勢更多內容請關注「嘶吼專業版」——Pro4hou