近期我向Google申报了一个安然问题,这个马脚将许可进击者确认某Web页面的拜访者是否登录了随便率性一?Google办事的┞匪号(包含GSuite账号在内)。
根据我的测试结不雅,进击者可以在每25秒钟的时光里确认大年夜约1000个电子邮夏┞匪号。然则Google方面给出的答复是:这是一个专门设计的功能,它并非是一个安然马脚。
你可以在这个【演示页面】自行测试该功(lou)能(dong)。
起首给大年夜家先上一个PoC演示动图(测试账号是我本身的邮箱):
办法论
我之前曾经写过一篇关于“辨认用户是否登录了某个社交收集”的文┞仿,而本文所描述的进击方法恰是之前技巧的变种版本。不过恕我直言,本文将要介绍的进击办法影响会加倍的严重。
Google的登录页面平日会在URL链接中传递一个continue参数,这个参数将负责把用户重定向到他们完成登录后本来须要拜访的目标地址。然则如不雅你已经完成的登录的话,你将会急速被重定向到continue参数所定义的URL地址。
如许一来,进击者就可以应用这种运行机制并经由过程一个专门制造的URL地址来将已登录的用户重定向到一个图片文件,并出现一个捏造的登录页面来测验测验欺骗用户完成登录操作。如不雅你如今在img标签的src属性中应用这种URl地址的话,你就可以应用JavaScript的onload和onerror函数来肯定图片是否已经精确加载了。
然则这个问题并不是Google想象的那么简单,因为进击者如今还可以供给一个额外的参数来指定一个电子邮件地址。这也就意味着,如不雅进击者供给的电子邮件地址可以或许与目标用户的邮件地址相匹配,则会触发一次重定向。
如不雅图片成功加载,解释用户完成了登录操作;如不雅图片加载出现缺点,则解释用户没有登录。这个问题其实Google早就已经知道了,不过这种功能也有必定的局限性,并且无法造成严重的影响,所以Google并没有理会。
如许一来,进击者就可以经由过程JavaScript的onload属性来动态创建并加载一个图片标签(这个过程不须要将图片对象添加到Web页面,并且你甚至都不须要将其附加到页面的DOM树中),然后等待匹配完成即可。在我的测试过程中,我可以每23-24秒的时光里检测大年夜约1000个电子邮箱地址。如不雅目标用户登录了你的网疆场逗留了几分钟的话,你就可以检测好几千个邮箱地址了。
然则如今我们须要合营一些其他的办法来收集目标用户的部分根本信息,例如经由过程IP地址来懂得到他们的地舆地位,应用有针对性的社交告白来收集关于他们企业收集或其他的一些根本信息等等。如不雅顺利的话,你如今应当已经可以或许犊飕加载一份目标地址列表了。接下来,你就可以经由过程本文所介绍的技巧来匹配并记录下目标用户的邮箱地址、IP地址、地舆地位、设备信息以及其他各类各样的信息了。
如今,你就可以应用刚才所收集到的信息来动员动态收集垂纶进击了。
马脚披露时光轴
- 2017年7月14日:我将这个问题申报给了Google的安然团队;
- 2017年7月17日:该问题已被分类,并等待处理结不雅;
- 2017年7月18日:Google安然团队与我接洽,并询问我关于处理该马脚的建议;
- 2017年7月18日:我给他们的建议是,在电子邮件中采取某种随机数或加盐哈希,并且只有在哈希和邮件相匹配的情况下才许可进行重定向;
- 2017年7月19日:Google确认将该问题归类为安然马脚;
- 2017年7月21日:我宣布了一篇文┞仿对该马脚进行了具体描述;
- 2017年8月9日:Google团队在经由评论辩论之后,告诉我这是一个专门设计的功能,并表示不会将其视为一个安然问题,是以他们不会采取任何下一步操作;
总结
这种进击技巧切实其实有必定的局限性,因为你必须事先获得一份目标用户列表。固然Google安然团队并不认为这是一个安然马脚,然则我仍然异常感激他们,感激他们可以或许对我提交的信息及时答复,他们异常的友爱。
【编辑推荐】
- htcap:一款实用的递归型Web马脚扫描对象
- BlackHat2017:零日马脚的二次发明率远高于预期
- 我们要在任何可能的处所测试XSS马脚
- 应用脚本注入马脚进击ReactJS应用法度榜样
- Moodle安然马脚若何启动长途代码履行?
推荐阅读
安然是虚拟主机重要推敲的身分,因为只有安然的虚拟主机才能够包管所支撑的┞肪点正常稳定地运行?那么你的虚拟主机筹划够安然吗? 你的虚拟主机筹划可以或许全程监控办事器吗? 你的虚拟主机筹划可以或许防控垃圾>>>详细阅读
本文标题:如何确认Google用户的具体电子邮件地址(已提交Google漏洞奖励计划)
地址:http://www.17bianji.com/lsqh/36716.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示