如果一个大公司如 谷歌 希望继续被每天使用其服务的所有用户看到,并将其所有隐私和文档作为世界上最安全的公司之一信任它,他们必须验证其安全性得到真正保证。 Google验证其系统安全性的方法之一是 奖励计划 借此邀请任何人找到安全漏洞。 根据它的严重性,发现它的人可以赢得 $ 20.000.
正是由于这样的程序,有许多专门从事安全工作的用户每天实际上都在工作,以发现任何类型的问题并进行报告,因此,一方面,Google几乎立即对其进行了修复,而他们自己可以从中赚钱他们最想要的。 这次我要告诉你 艾哈迈德·梅赫塔布(Ahmed Mehtab),Security Fuss的首席执行官兼巴基斯坦研究员,他刚刚发现了一个 Gmail验证过程中的重大安全问题.
Ahmed Mehtab揭示了窃取Gmail帐户所需的过程。
如前所述, 无需丰富的IT和安全知识,任何用户都可以 控制帐户 特别是通过简单的过程。 首先,要执行此操作,将无法连接SMTP收件人,帐户已被停用,收件人先前已阻止发件人或发送确认消息的ID不存在。
如果满足这四个条件之一,则想要窃取帐户的用户可以通过向Google发送电子邮件来确认电子邮件的所有权。 搜索引擎以一种完全自动的方式向所述地址发送响应以进行确认,因为该地址无法接收确认电子邮件,因此将一条消息(包含代码)返回到原始地址以恢复帐户。 这样,攻击者可以控制该帐户.
更多信息: Techworm