V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
l1905
V2EX  ›  程序员

在微博上看到"网易 改变邮箱地址参数,就能查看任意 163 邮箱的未读邮件数和邮件总数!!"

  •  
  •   l1905 · 2015-10-22 07:32:58 +08:00 · 30671 次点击
    这是一个创建于 3307 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2015-10-22 08:58:06 +08:00
    可以尝试用其他邮箱(gmail,hotmail,qq....) 往 自己的 163 邮箱发一封测试邮件,验证下结果
    第 2 条附言  ·  2015-10-22 13:22:26 +08:00
    108 条回复    2015-10-23 11:04:25 +08:00
    1  2  
    x86
        1
    x86  
       2015-10-22 07:37:35 +08:00 via iPhone
    网易,有态度。
    LazyZhu
        2
    LazyZhu  
       2015-10-22 07:53:10 +08:00
    已验证, 是真的.
    falcon05
        3
    falcon05  
       2015-10-22 07:55:20 +08:00 via iPhone
    继续补刀
    auser
        4
    auser  
       2015-10-22 08:00:14 +08:00 via Android
    微软系统那么多系统漏洞。

    按照博主的说法,估计同行连一个人都招不到了。
    simapple
        5
    simapple  
       2015-10-22 08:07:32 +08:00
    还有什么一块爆出来
    aluo1
        6
    aluo1  
       2015-10-22 08:08:21 +08:00
    测试可行,网易💊
    yexm0
        7
    yexm0  
       2015-10-22 08:11:34 +08:00 via Android
    谁去乌云发个报告把事情闹大→_→
    6IbA2bj5ip3tK49j
        8
    6IbA2bj5ip3tK49j  
       2015-10-22 08:12:28 +08:00
    这个问题 13 年就有了好像。
    XianZaiZhuCe
        9
    XianZaiZhuCe  
       2015-10-22 08:15:57 +08:00   ❤️ 1
    你查了我的邮件总数,然后呢?其实你想知道,我可以自己数一下,然后告诉你,何必劳心劳力研究什么函数呢?
    kn007
        10
    kn007  
       2015-10-22 08:23:47 +08:00
    MLGBD 。。。
    twc731
        11
    twc731  
       2015-10-22 08:29:57 +08:00
    就知道个数量,然并卵
    uxstone
        12
    uxstone  
       2015-10-22 08:31:50 +08:00
    不管外面怎么说,网易就是不承认,
    linxy
        13
    linxy  
       2015-10-22 08:35:05 +08:00
    这个不是 13 年就已经有过了么…
    当时也没人重视
    juneszh
        14
    juneszh  
       2015-10-22 08:36:37 +08:00   ❤️ 19
    说没用的真是程序员思维? 要是我做垃圾邮件, 这个邮件首先可以验证这个邮箱是否有效, 是否送达, 测试各种改变规则, 大大提高垃圾邮件的送达率 , 省成本提高质量
    p0xiao
        15
    p0xiao  
       2015-10-22 08:37:19 +08:00
    亲测可用。。。
    kennywong
        16
    kennywong  
       2015-10-22 08:41:20 +08:00
    为何我输入随便一个邮箱名都有结果返回。。有查询失败的结果吗?
    lichanglei11
        17
    lichanglei11  
       2015-10-22 08:43:00 +08:00
    随便一个地址都有返回值~
    hdjdcyl
        18
    hdjdcyl  
       2015-10-22 08:43:57 +08:00 via iPhone
    然并卵
    fengtalk
        19
    fengtalk  
       2015-10-22 08:48:45 +08:00
    重新发了份邮件试了,确实可以。同意 @juneszh 的说法。
    aivier
        20
    aivier  
       2015-10-22 08:52:17 +08:00


    你是想告诉我这是一个邮箱地址?
    quericy
        21
    quericy  
       2015-10-22 08:54:55 +08:00
    随便输入多长的邮箱都有未读和已读邮件?这不科学
    sfz97308
        22
    sfz97308  
       2015-10-22 09:01:30 +08:00
    已验证确有此事...邮箱里有 1 封未读,查看邮件后从 1 变为 0 了。
    xiaoz
        23
    xiaoz  
       2015-10-22 09:03:53 +08:00
    我擦,居然是真的。
    mcone
        24
    mcone  
       2015-10-22 09:04:04 +08:00
    验证了一下自己的 3 个猪场邮箱,确实 New Message 的数目在变

    但是楼上们的超长邮箱怎么解释呢……
    lycosme
        25
    lycosme  
       2015-10-22 09:06:02 +08:00
    就一个邮件数字有什么用?
    lechenging
        26
    lechenging  
       2015-10-22 09:06:45 +08:00
    amon
        27
    amon  
       2015-10-22 09:07:17 +08:00   ❤️ 1
    @XianZaiZhuCe 小伙,你还是太年轻啊。你以为就只开放了这一个函数吗?
    很明显是网易后端为了某个蛋疼的目的而开放了这些接口,还不知道开放了些啥接口呢,只是我们目前只知道一个而已(不排除黑客已经知道了有哪些,只是扔给一个没什么大用的给普通人玩玩)。比如根据 email 获取个人信息,获取账户信息,获取密保,获取邮件列表等等。
    网易, CNMB !
    glchaos
        28
    glchaos  
       2015-10-22 09:12:03 +08:00
    我输入我的 126 邮箱,显示的数量和我在邮箱中看到的数量是不一样的,不知道邮箱是否有不能让人看的东西。然后我用这个找回了一个 163 同名邮箱- -|| 我都不记得我有这邮箱!
    nikubenki
        29
    nikubenki  
       2015-10-22 09:14:50 +08:00
    试了一下我自己的 163 邮箱,准!
    Hongmin
        30
    Hongmin  
       2015-10-22 09:16:47 +08:00
    @glchaos 蛤蛤,这个估计是网易故意搞的。随便输一个邮箱地址都能出现结果。
    http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=qweoqqqqqq%E9%87%8C%E5%8D%A1%E5%A4%[email protected]
    kqz901002
        31
    kqz901002  
       2015-10-22 09:17:02 +08:00
    @lechenging 可能都是机器注册的
    pheyer
        33
    pheyer  
       2015-10-22 09:24:50 +08:00
    我怎么感觉不是很准呢
    Tink
        34
    Tink  
       2015-10-22 09:25:30 +08:00
    然并卵,任意地址都有回复
    Troevil
        36
    Troevil  
       2015-10-22 09:27:06 +08:00
    http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=te%E5%98%BB#¥%#%嘻 1231232 ……&*……&*嘻 [email protected] 感觉随机生成的,并不一定是真数据
    pheyer
        37
    pheyer  
       2015-10-22 09:28:51 +08:00
    我感觉像是三年前的数据,而不是现在实时的数据
    lowbird
        38
    lowbird  
       2015-10-22 09:29:23 +08:00
    New Message:1 Totoal Message:84 ,,,,,发了一个后就是 1 了,,,
    coffeecat
        39
    coffeecat  
       2015-10-22 09:30:04 +08:00
    。。。
    w4lle
        40
    w4lle  
       2015-10-22 09:30:47 +08:00
    亲测可用
    v2what
        41
    v2what  
       2015-10-22 09:31:58 +08:00
    试了三个邮箱, 163 的准, 126 和 yeah.net 的不准。
    pljhonglu
        42
    pljhonglu  
       2015-10-22 09:41:18 +08:00
    根据楼上的描述,我猜测事情的经过是这样的
    13 年的时候爆了这个漏洞之后,上级命令程序员赶紧修复。
    奈何接口太老(根据返回的数据非 json 等结构化数据推测的),代码已经面目全非。所以程序员无奈之下只好让非法邮箱返回个随机结果。。。
    Orzpls
        43
    Orzpls  
       2015-10-22 09:45:10 +08:00 via Android
    已验证几个邮箱,结果并不准。
    Sleebi
        44
    Sleebi  
       2015-10-22 09:55:10 +08:00   ❤️ 1
    改密码改密保已经改到心累了,现在。。。
    GKLuke
        45
    GKLuke  
       2015-10-22 09:56:28 +08:00
    New Message:0 Totoal Message:1145
    pheyer
        46
    pheyer  
       2015-10-22 09:57:59 +08:00
    @v2what 正解, 163 是准的
    skywatcher
        47
    skywatcher  
       2015-10-22 10:08:08 +08:00
    能被利用获取个人信息的才算漏洞吧,这个只是个接口,只能得到两个数字,这也算的话那各大公司的类似接口多了去了
    ck65
        48
    ck65  
       2015-10-22 10:10:42 +08:00 via iPhone
    @skywatcher 这两个数字在特定情形下很有价值。
    hahasong
        49
    hahasong  
       2015-10-22 10:15:52 +08:00
    试了下自己的 163 ,准确无误
    Kolin
        50
    Kolin  
       2015-10-22 10:28:53 +08:00
    163 邮箱存在,返回正确结果。不存在此 163 ,随机返回。
    webjin
        51
    webjin  
       2015-10-22 10:31:29 +08:00
    我刚刚实验楼下,是真实有效的漏洞。
    webjin
        52
    webjin  
       2015-10-22 10:34:33 +08:00
    webjin
        54
    webjin  
       2015-10-22 10:36:28 +08:00
    jydeng
        55
    jydeng  
       2015-10-22 10:42:10 +08:00
    试了下,确实可以,网易药丸
    zcbenz
        57
    zcbenz  
       2015-10-22 10:48:10 +08:00
    这个漏洞两年前就有了,一直没修过……
    WayToPlay
        58
    WayToPlay  
       2015-10-22 11:37:49 +08:00
    只能确认邮件地址存在,然。。。
    imn1
        59
    imn1  
       2015-10-22 11:48:15 +08:00
    不想再评论网易了,就如我对中国男足的感受那样~
    Solerer
        60
    Solerer  
       2015-10-22 12:11:58 +08:00 via Android
    总数不准
    killerv
        61
    killerv  
       2015-10-22 12:16:53 +08:00
    163 准确,读取一封未读的邮件之后那个接口返回的数据还会变化,从此网易邮箱一生黑。
    saturnx
        62
    saturnx  
       2015-10-22 12:29:38 +08:00
    126 ,不准;
    163 ,一开始不准,登录后再刷新就准了。
    Cryse
        63
    Cryse  
       2015-10-22 12:38:59 +08:00
    silianbo
        64
    silianbo  
       2015-10-22 12:40:37 +08:00
    http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected] 大家试试这个?
    对么:
    New Message:14 Totoal Message:1116
    popstk
        65
    popstk  
       2015-10-22 12:49:43 +08:00
    试了下自己的邮箱还真的是
    maskerTUI
        66
    maskerTUI  
       2015-10-22 12:54:41 +08:00
    试了一下自己的,不准。
    professorz
        67
    professorz  
       2015-10-22 12:57:45 +08:00
    这是一个 api 吧。。。缺少了 access_token 验证?
    crab
        68
    crab  
       2015-10-22 12:58:32 +08:00
    zhchbin
        69
    zhchbin  
       2015-10-22 13:52:24 +08:00
    很奇怪,一个危害挺低的越权漏洞为什么就说 XX 药丸,而且这微博说的也是太夸大其词了。安全不应该是风声鹤唳,夸大其词。

    这个接口其实访问量应该挺大的,虽然在各位看来是加上验证是理所应当的事情,但有没有想过带来的性能问题呢?(我记得之前新浪微博的在线实时查有多少条未读,私信,新粉丝等数据也是可以任意访问的,不知道现在是不是)
    redkei
        70
    redkei  
       2015-10-22 13:59:32 +08:00
    @saturnx
    @glchaos
    @Troevil
    @pheyer
    @v2what
    @saturnx

    126 也是准的, 楼主给的是 163 的链接, 后面只能跟 163 邮箱:
    http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected]

    126 邮箱是这个,我测试了非常准,我刚清空邮件过。
    http://msg.mail.126.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected]
    v2what
        71
    v2what  
       2015-10-22 14:04:31 +08:00
    @Cryse 确实可以, yeah.net 也一样准确。
    pheyer
        72
    pheyer  
       2015-10-22 14:13:07 +08:00
    @redkei 的确是的,都只想到改邮箱名😂
    zhizhuo
        73
    zhizhuo  
       2015-10-22 14:15:56 +08:00
    @zhchbin 有一个越权漏洞,说明就非常可能有若干个潜在的,甚至是非常重要的。
    d0evi1
        74
    d0evi1  
       2015-10-22 14:19:31 +08:00
    配合扫库,扫出有价值的账号来,然后破解,就发了。
    LazyZhu
        75
    LazyZhu  
       2015-10-22 14:20:34 +08:00
    @juneszh
    还可以连续请求两次来验证邮箱的有效性
    macleek
        76
    macleek  
       2015-10-22 14:22:16 +08:00
    我想说好几年前就知道了。。。。包括 yeah 邮箱。。。。。
    zhchbin
        77
    zhchbin  
       2015-10-22 14:56:09 +08:00
    @zhizhuo 我的意思其实说的是:这个接口就是故意设置成这样子的。而你认为的是:这个接口是因为疏忽导致的。
    coko156
        78
    coko156  
       2015-10-22 15:07:31 +08:00
    有用!
    用来看自己忘记密码的邮箱里有没有邮件...

    (换成 admin, http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected], 也有数据.....这....
    crab
        79
    crab  
       2015-10-22 15:15:56 +08:00
    @zhchbin 看下 14 楼的,这种结合社工还是有危害的。不然按你这意思,干脆支付宝开放任意帐号金额查询,各大银行卡也开放任意卡号查询金额,反正查了又拿不走别人钱。
    zhchbin
        80
    zhchbin  
       2015-10-22 15:36:39 +08:00
    @crab 不要偷换概念啊。这个邮件未读数量的隐私程度并没有你银行卡里的金额重要。
    flydog
        81
    flydog  
       2015-10-22 15:42:27 +08:00
    竟然有这么多人认为这件事“然并卵”,大家已经习惯暴露隐私了么。首先不说这个接口返回的信息是不是敏感的、接口缺少鉴权是不是有意设计的,至少能说明网易对用户数据隐私的态度有问题。

    而且这些数据,至少能让我知道我发给网易邮箱用户的邮件有没有被阅读。发个邮件阅读回执都要确认,更不要说暴露已读未读邮件的数量了吧。更何况定时监视这些数据甚至还能知道我阅读邮件的习惯,我实在想不出这些数据可以公开的理由。

    至于还有人觉得是因为出于性能考虑而去掉鉴权,只能说呵呵。这一个接口是这样的,到底有没有更隐私的接口已经在暴露使用了,谁知道呢。
    imn1
        82
    imn1  
       2015-10-22 15:44:56 +08:00
    @zhchbin
    隐私程度?谁判定?
    对隐私归属人来说没有级别,只有本人公开和不公开两种
    ruchee
        83
    ruchee  
       2015-10-22 15:54:35 +08:00
    @flydog 那些说“然并卵”的都是网易派出的公关,难道看不出来吗。无视即可
    okhaoba
        84
    okhaoba  
       2015-10-22 15:59:14 +08:00
    不知道还有其他可用的 funcid 没?
    niko
        85
    niko  
       2015-10-22 16:09:33 +08:00
    估计类似的 api 还有很多。
    liuzuo
        86
    liuzuo  
       2015-10-22 16:36:53 +08:00
    8 小时,竟然还没封堵。。。。。。
    twor2
        88
    twor2  
       2015-10-22 17:08:27 +08:00
    有人说这是一个 碧油鸡,图样图森破,这是一个福优扯儿
    mxalbert1996
        89
    mxalbert1996  
       2015-10-22 18:28:35 +08:00
    @twor2 feature 读作福衣扯儿
    nvidiaAMD980X
        90
    nvidiaAMD980X  
       2015-10-22 18:36:21 +08:00 via Android
    @flydog 天朝版的“棱角门”!!!😤😤😤谁知道后面还有多少没被公开的漏洞??
    “我们看到的只是角落里的一只蟑螂,而看不到它背后的 20 多只蟑螂”,这句台词在这里验证了!
    由于暴露在隐身大量外泄的环境里,他人都已麻木,作为一个好心提醒的人,反而被视为异类………………
    eary
        91
    eary  
       2015-10-22 19:12:15 +08:00
    @juneszh 看机会吗? 朋友,我司狂找技术 geek
    Troevil
        92
    Troevil  
       2015-10-22 19:27:41 +08:00
    刚刚看了下已经修了 全返回 -1 了
    xavierskip
        93
    xavierskip  
       2015-10-22 20:05:38 +08:00
    我的一个非常老的邮箱号有效,显示 New Message:1 Totoal Message:970 ,登录进去看确实是未读一封邮件。

    另外一个新注册的邮箱失效,返回 New Message:-1 Totoal Message:-1
    zjay
        94
    zjay  
       2015-10-22 21:09:49 +08:00
    @twor2 对啊,这是个 feature 啊, X-notifier 就是用这个来获取未读邮件的啊
    cmxz
        95
    cmxz  
       2015-10-22 21:49:18 +08:00
    一个不太严重的越权而已
    palytoxin
        96
    palytoxin  
       2015-10-22 23:20:22 +08:00
    @Troevil 还没有,我的还正确
    GPU
        97
    GPU  
       2015-10-22 23:25:59 +08:00
    年輕人總是想搞個大新聞啊.
    ctsed
        98
    ctsed  
       2015-10-23 00:41:11 +08:00
    微博消息数量也有
    zonghua
        99
    zonghua  
       2015-10-23 01:46:57 +08:00 via iPhone
    权限框架是怎么做的!
    fuermosi777
        100
    fuermosi777  
       2015-10-23 01:50:45 +08:00
    好像确实也没什么用
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2631 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 10:58 · PVG 18:58 · LAX 02:58 · JFK 05:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.