• 🚨 24 часа до повышения цены на курс «Пентест Active Directory: от теории к практике» от Академии Кодебай

    🔍 Изучите реальные техники атак на инфраструктуру Active Directory: от первоначального доступа до полной компрометации.
    🛠️ Освойте инструменты, такие как BloodHound, Mimikatz, CrackMapExec и другие.
    🧪 Пройдите практические лабораторные работы, имитирующие реальные сценарии атак.
    🧠 Получите знания, которые помогут вам стать востребованным специалистом в области информационной безопасности.

    Последний день записи в текущий поток по старой цене Подробнее о курсе ...

Статья [новость - перевод] Малоизвестная уязвимость E-Mail

является результатом взаимодействия двух разных способов обработки адресов электронной почты. Gmail игнорирует точки в адресах, поэтому адрес bruce.schneier@gmail.com - это то же самое, что и bruceschneier@gmail.com, такое же, как b.r.u.c.e.schneier@gmail.com. (Примечание: у меня нет ни одного из этих адресов электронной почты, если они даже действительны.) Netflix не игнорирует точки, поэтому все они являются уникальными адресами электронной почты и могут использоваться для регистрации учетной записи. Эта разница может быть использована.

Меня почти обманули в постоянном платеже за доступ к Eve's Netflix и дело не было доведено до конца лишь потому, что я не признал отклоненную карту. В целом, фишинг-мошенничество присутствует здесь:

  1. Заблокируйте форму регистрации Netflix, пока не найдете адрес gmail.com, который уже зарегистрирован. Предположим, вы нашли жертву jameshfisher .
  2. Создайте учетную запись на Netflix с адресом james.hfisher.
  3. Подпишитесь на бесплатную пробную версию с .
  4. После того, как Netflix применит «активную проверку карты», аннулируйте карту.
  5. Подождите, пока Netflix погасит аннулированную карту. Затем электронные письма Netflix james.hfisher запрашивают действительную карту.
  6. Надеемся, что Джим читает электронное письмо, пришедшее на адрес james.hfisher, и полагает, что это для его учетной записи Netflix, поддерживаемой jameshfisher, затем входит в его карточку **** 1234.
  7. Измените адрес электронной почты для учетной записи Netflix на eve@gmail.com, носящий доступ Джима к этому аккаунту.
  8. Используйте Netflix бесплатно навсегда с картой Джима **** 1234!
Вы об этом не знали, ведь правда? Проблема, да?

Джеймс Фишер, который написал этот пост, утверждает, что это ошибка Google. Игнорирование точек может дать людям огромное количество разных адресов электронной почты, но это не та функция, которую люди действительно хотят видеть. И пока другие сайты не следуют примеру Google, такие проблемы возможны.

Я думаю, что проблема более тонкая. Это пример двух систем без уязвимости безопасности, которые в случае объединения, создают уязвимости безопасности. Поскольку мы подключаем больше систем непосредственно друг к другу, мы сможем увидеть намного больше подобного рода случаев. И как в нашем примере взаимодействия с Google/Netflix, будет довольно сложно понять, кто, на самом деле, виноват и кто - если вообще кто-то - несет ответственность за устранение данной уязвимости.


Источник:
 
В любом почтовике, при тщательном обследовании, можно найти уязвимость. Да только, многие , халатно относятся к этому. Считают уязвимость не серьезной или вапще ответят "наши разработчики , знают о проблеме и уже работают над ней" Бе-бе-бе! "Отзынь умник" Сволочи! Нет, чтоб заплатить хоть пару тыщ, нашедшему уязвимость.
 
  • Нравится
Реакции: TROOPY
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Курс AD