u0m3 Posted May 10, 2017 Report Posted May 10, 2017 https://blog.0day.rocks/abusing-gmail-to-get-previously-unlisted-e-mail-addresses-41544b62b2 4 Quote
Adln Posted May 19, 2017 Report Posted May 19, 2017 (edited) Tot pe același principiu, în momentul în care îți alegi adresa pentru un email nou, îți validează pe loc dacă adresa mai există sau nu. nu am verificat cu requesturi foarte multe dar pare să fie același lucru. Edited May 19, 2017 by Adln Quote
u0m3 Posted May 19, 2017 Author Report Posted May 19, 2017 (edited) In teorie da, doar ca in loc de un raspuns json/xml/ceva, te uiti la headers. Validarea ar trebui sa aiba un fel de limita (dupa 10 incercari, de exemplu, time-out). Doar ca din ce am citit acolo, mi-a lasat impresia ca metoda asta cu header-e, nu are nici un fel de rate limit. Deci poti linistit sa spamezi in prostie. Edited May 19, 2017 by u0m3 Quote
Adln Posted May 19, 2017 Report Posted May 19, 2017 2 hours ago, u0m3 said: In teorie da, doar ca in loc de un raspuns json/xml/ceva, te uiti la headers. Validarea ar trebui sa aiba un fel de limita (dupa 10 incercari, de exemplu, time-out). Doar ca din ce am citit acolo, mi-a lasat impresia ca metoda asta cu header-e, nu are nici un fel de rate limit. Deci poti linistit sa spamezi in prostie. E interesant. Sunt curios totusi de ce aia au considerat ca nu e o problema de securitate. Quote
yoyois Posted May 20, 2017 Report Posted May 20, 2017 12 hours ago, Adln said: E interesant. Sunt curios totusi de ce aia au considerat ca nu e o problema de securitate. Cred ca google opreste spamul la nivelul de email, spam filter. Faptul ca poti lista adrese random valide nu e chiar atat de grav in comparatie cu milioanele de adrese+nume+hash md5 din dumpurile publice. In plus e posibil ca restrictiile pe pagina respectiva ar complica alte aplicatii destul de mult in timp ce plusul de securitate ar fi mic. 2 Quote
