u0m3 Posted May 10, 2017 Report Share Posted May 10, 2017 https://blog.0day.rocks/abusing-gmail-to-get-previously-unlisted-e-mail-addresses-41544b62b2 4 Quote Link to comment Share on other sites More sharing options...
Adln Posted May 19, 2017 Report Share Posted May 19, 2017 (edited) Tot pe același principiu, în momentul în care îți alegi adresa pentru un email nou, îți validează pe loc dacă adresa mai există sau nu. nu am verificat cu requesturi foarte multe dar pare să fie același lucru. Edited May 19, 2017 by Adln Quote Link to comment Share on other sites More sharing options...
u0m3 Posted May 19, 2017 Author Report Share Posted May 19, 2017 (edited) In teorie da, doar ca in loc de un raspuns json/xml/ceva, te uiti la headers. Validarea ar trebui sa aiba un fel de limita (dupa 10 incercari, de exemplu, time-out). Doar ca din ce am citit acolo, mi-a lasat impresia ca metoda asta cu header-e, nu are nici un fel de rate limit. Deci poti linistit sa spamezi in prostie. Edited May 19, 2017 by u0m3 Quote Link to comment Share on other sites More sharing options...
Adln Posted May 19, 2017 Report Share Posted May 19, 2017 2 hours ago, u0m3 said: In teorie da, doar ca in loc de un raspuns json/xml/ceva, te uiti la headers. Validarea ar trebui sa aiba un fel de limita (dupa 10 incercari, de exemplu, time-out). Doar ca din ce am citit acolo, mi-a lasat impresia ca metoda asta cu header-e, nu are nici un fel de rate limit. Deci poti linistit sa spamezi in prostie. E interesant. Sunt curios totusi de ce aia au considerat ca nu e o problema de securitate. Quote Link to comment Share on other sites More sharing options...
yoyois Posted May 20, 2017 Report Share Posted May 20, 2017 12 hours ago, Adln said: E interesant. Sunt curios totusi de ce aia au considerat ca nu e o problema de securitate. Cred ca google opreste spamul la nivelul de email, spam filter. Faptul ca poti lista adrese random valide nu e chiar atat de grav in comparatie cu milioanele de adrese+nume+hash md5 din dumpurile publice. In plus e posibil ca restrictiile pe pagina respectiva ar complica alte aplicatii destul de mult in timp ce plusul de securitate ar fi mic. 2 Quote Link to comment Share on other sites More sharing options...