當(dāng)有一天，你有機(jī)會(huì)邂逅所有的gmail郵箱，你會(huì)是怎樣的感同身受?

互聯(lián)網(wǎng)上的每?jī)扇齻€(gè)用戶(hù)就會(huì)有一個(gè)用戶(hù)使用Gmail作為郵件服務(wù)提供商，而且gmail郵箱也成為我們?cè)诙卧锖荜P(guān)鍵的社交帳號(hào)憑證，諸如鏈接至facebook、twitter以及其他更多網(wǎng)站應(yīng)用，我相信這個(gè)你比我更懂。

那么，關(guān)鍵是你是否曾見(jiàn)過(guò)世界上所有的Gmail郵箱地址，或者說(shuō)如果上天許你一個(gè)機(jī)會(huì)，讓你獲得世界上所有的gmail郵箱地址，你會(huì)有怎樣的反應(yīng)?

當(dāng)上帝不小心手抖了一下，于是這個(gè)蘋(píng)果不偏不倚的的砸在了一名叫做“Oren Hafif”的以色列研究人員的頭上。他在Gmail系統(tǒng)中找到了漏洞，從而能夠進(jìn)一步導(dǎo)出包括內(nèi)部郵箱地址在內(nèi)的所有的gmail郵箱地址。

Oren是從Gmail授權(quán)認(rèn)證系統(tǒng)中發(fā)現(xiàn)這一bug的，它是用來(lái)驗(yàn)證其他人是否與你正在使用的賬戶(hù)相同。

這一漏洞實(shí)際存在在于Google系統(tǒng)發(fā)送的郵件中的URL，這一郵件是用來(lái)驗(yàn)證其他郵箱地址訪問(wèn)權(quán)限的。

如上圖郵件所示，在這封郵件中有兩個(gè)URL，一個(gè)是接受邀請(qǐng)，一個(gè)是拒絕。Oren描述了上述的URL：讓我們進(jìn)一步仔細(xì)研究一下這個(gè)請(qǐng)求的URL

https://mail.google.com/mail/mdd-f560c0c4e1-oren.hafif%40gmail.com-bbD8J0t6P6JNOUO36vY6S_pZJy4

***：https://mail.google.com/mail/ ，只是正常映射到Gmail應(yīng)用程序;

第二：/mdd，是映射到郵件認(rèn)證拒絕的servlet;

第三：f560c0c4e1代表什么呢?它看起來(lái)像一個(gè)token。在這里有一些希望，因?yàn)檫@段鏈接是如此之短，并且讓它是十六進(jìn)制;

第四：oren.hafif%40gmail.com我的電子郵件地址;

第五：bbD8J0t6P6JNOUO36vY6S_pZJy4代表什么呢?它看起來(lái)像blob代碼。這通常是一個(gè)不好的信號(hào)，意味著Google的HMAC請(qǐng)求的URL將可以應(yīng)用于暴力掃描。

之后，Oren將一有漏洞的URL放入Brute Force Tool中：

他在URL to FUZZ填入/mail/mdd-{dir}-support@google.com-O6xUbWXP7hm8GaZGUetuk5f9vlU。之后，由于他的未授權(quán)請(qǐng)求次數(shù)太多，Google限制了他的訪問(wèn)，所以他嘗試通過(guò)各種手段來(lái)旁路連接Google服務(wù)器。當(dāng)然對(duì)于完整的演示，你可以參考他的博客或者觀看下面視頻。

當(dāng)然在此期間，Google已經(jīng)修復(fù)了這一漏洞并獎(jiǎng)勵(lì)Oren 500美元。