• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь. Мобильный клиент для IOS находится в itunes по этой ссылке

Статья [новость - перевод] Малоизвестная уязвимость E-Mail

AnnaDavydova

Перевожу для codeby
06.08.2016
89
490
#1
Для просмотра контента необходимо: Войти или зарегистрироваться
является результатом взаимодействия двух разных способов обработки адресов электронной почты. Gmail игнорирует точки в адресах, поэтому адрес bruce.schneier@gmail.com - это то же самое, что и bruceschneier@gmail.com, такое же, как b.r.u.c.e.schneier@gmail.com. (Примечание: у меня нет ни одного из этих адресов электронной почты, если они даже действительны.) Netflix не игнорирует точки, поэтому все они являются уникальными адресами электронной почты и могут использоваться для регистрации учетной записи. Эта разница может быть использована.

Меня почти обманули в постоянном платеже за доступ к Eve's Netflix и дело не было доведено до конца лишь потому, что я не признал отклоненную карту. В целом, фишинг-мошенничество присутствует здесь:

  1. Заблокируйте форму регистрации Netflix, пока не найдете адрес gmail.com, который уже зарегистрирован. Предположим, вы нашли жертву jameshfisher .
  2. Создайте учетную запись на Netflix с адресом james.hfisher.
  3. Подпишитесь на бесплатную пробную версию с
    Для просмотра контента необходимо: Войти или зарегистрироваться
    .
  4. После того, как Netflix применит «активную проверку карты», аннулируйте карту.
  5. Подождите, пока Netflix погасит аннулированную карту. Затем электронные письма Netflix james.hfisher запрашивают действительную карту.
  6. Надеемся, что Джим читает электронное письмо, пришедшее на адрес james.hfisher, и полагает, что это для его учетной записи Netflix, поддерживаемой jameshfisher, затем входит в его карточку **** 1234.
  7. Измените адрес электронной почты для учетной записи Netflix на eve@gmail.com, носящий доступ Джима к этому аккаунту.
  8. Используйте Netflix бесплатно навсегда с картой Джима **** 1234!
Вы об этом не знали, ведь правда? Проблема, да?

Джеймс Фишер, который написал этот пост, утверждает, что это ошибка Google. Игнорирование точек может дать людям огромное количество разных адресов электронной почты, но это не та функция, которую люди действительно хотят видеть. И пока другие сайты не следуют примеру Google, такие проблемы возможны.

Я думаю, что проблема более тонкая. Это пример двух систем без уязвимости безопасности, которые в случае объединения, создают уязвимости безопасности. Поскольку мы подключаем больше систем непосредственно друг к другу, мы сможем увидеть намного больше подобного рода случаев. И как в нашем примере взаимодействия с Google/Netflix, будет довольно сложно понять, кто, на самом деле, виноват и кто - если вообще кто-то - несет ответственность за устранение данной уязвимости.


Источник:
Для просмотра контента необходимо: Войти или зарегистрироваться
 

Sniff

Well-known member
15.12.2016
171
262
#2
В любом почтовике, при тщательном обследовании, можно найти уязвимость. Да только, многие , халатно относятся к этому. Считают уязвимость не серьезной или вапще ответят "наши разработчики , знают о проблеме и уже работают над ней" Бе-бе-бе! "Отзынь умник" Сволочи! Нет, чтоб заплатить хоть пару тыщ, нашедшему уязвимость.
 
Симпатии: Понравилось TROOPY
Вверх Снизу