这是一个创建于 3643 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 2015-10-22 08:58:06 +08:00
可以尝试用其他邮箱(gmail,hotmail,qq....) 往 自己的 163 邮箱发一封测试邮件,验证下结果
第 2 条附言 2015-10-22 13:22:26 +08:00
 | 1 x86 2015-10-22 07:37:35 +08:00 via iPhone 网易,有态度。 |
 | 2 LazyZhu 2015-10-22 07:53:10 +08:00 已验证, 是真的. |
 | 3 GG668v26Fd55CP5W 2015-10-22 07:55:20 +08:00 via iPhone 继续补刀 |
 | 4 auser 2015-10-22 08:00:14 +08:00 via Android 微软系统那么多系统漏洞。 按照博主的说法,估计同行连一个人都招不到了。 |
 | 5 simapple 2015-10-22 08:07:32 +08:00 还有什么一块爆出来 |
 | 6 aluo1 2015-10-22 08:08:21 +08:00 测试可行,网易 |
 | 7 yexm0 2015-10-22 08:11:34 +08:00 via Android 谁去乌云发个报告把事情闹大→_→ |
| 8 6IbA2bj5ip3tK49j 2015-10-22 08:12:28 +08:00 这个问题 13 年就有了好像。 |
 | 9 XianZaiZhuCe 2015-10-22 08:15:57 +08:00  1 你查了我的邮件总数,然后呢?其实你想知道,我可以自己数一下,然后告诉你,何必劳心劳力研究什么函数呢? |
 | 10 kn007 2015-10-22 08:23:47 +08:00 MLGBD 。。。 |
 | 11 twc731 2015-10-22 08:29:57 +08:00 就知道个数量,然并卵 |
 | 12 uxstone 2015-10-2208:31:50 +08:00 不管外面怎么说,网易就是不承认, |
 | 13 linxy 2015-10-22 08:35:05 +08:00 这个不是 13 年就已经有过了么… 当时也没人重视 |
 | 14 juneszh 2015-10-22 08:36:37 +08:00 19 说没用的真是程序员思维? 要是我做垃圾邮件, 这个邮件首先可以验证这个邮箱是否有效, 是否送达, 测试各种改变规则, 大大提高垃圾邮件的送达率 , 省成本提高质量 |
 | 15 p0xiao 2015-10-22 08:37:19 +08:00 亲测可用。。。 |
 | 16 kennywong 2015-10-22 08:41:20 +08:00 为何我输入随便一个邮箱名都有结果返回。。有查询失败的结果吗? |
 | 17 lichanglei11 2015-10-22 08:43:00 +08:00 随便一个地址都有返回值~ |
 | 18 hdjdcyl 2015-10-22 08:43:57 +08:00 via iPhone 然并卵 |
 | 20 aivier 2015-10-22 08:52:17 +08:00  你是想告诉我这是一个邮箱地址? |
 | 21 quericy 2015-10-22 08:54:55 +08:00 随便输入多长的邮箱都有未读和已读邮件?这不科学  |
 | 22 sfz97308 2015-10-22 09:01:30 +08:00 已验证确有此事...邮箱里有 1 封未读,查看邮件后从 1 变为 0 了。 |
 | 23 xiaoz 2015-10-22 09:03:53 +08:00 我擦,居然是真的。 |
 | 24 mcone 2015-10-22 09:04:04 +08:00 验证了一下自己的 3 个猪场邮箱,确实 New Message 的数目在变 但是楼上们的超长邮箱怎么解释呢…… |
 | 25 lycosme 2015-10-22 09:06:02 +08:00 就一个邮件数字有什么用? |
 | 26 lechenging 2015-10-22 09:06:45 +08:00 |
 | 27 amon 2015-10-22 09:07:17 +08:00 1 @XianZaiZhuCe 小伙,你还是太年轻啊。你以为就只开放了这一个函数吗? 很明显是网易后端为了某个蛋疼的目的而开放了这些接口,还不知道开放了些啥接口呢,只是我们目前只知道一个而已(不排除黑客已经知道了有哪些,只是扔给一个没什么大用的给普通人玩玩)。比如根据 email 获取个人信息,获取账户信息,获取密保,获取邮件列表等等。 网易, CNMB ! |
 | 28 glchaos 2015-10-22 09:12:03 +08:00 我输入我的 126 邮箱,显示的数量和我在邮箱中看到的数量是不一样的,不知道邮箱是否有不能让人看的东西。然后我用这个找回了一个 163 同名邮箱- -|| 我都不记得我有这邮箱! |
 | 29 nikubenki 2015-10-22 09:14:50 +08:00 试了一下我自己的 163 邮箱,准! |
 | 30 Hongmin 2015-10-22 09:16:47 +08:00 @glchaos 蛤蛤,这个估计是网易故意搞的。随便输一个邮箱地址都能出现结果。 http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=qweoqqqqqq%E9%87%8C%E5%8D%A1%E5%A4%[email protected] |
 | 31 kqz901002 2015-10-22 09:17:02 +08:00 @lechenging 可能都是机器注册的 |
 | 32 ylx 2015-10-22 09:23:04 +08:00 |
 | 33 pheyer 2015-10-22 09:24:50 +08:00 我怎么感觉不是很准呢 |
 | 34 Tink PRO 然并卵,任意地址都有回复 |
 | 35 binux 2015-10-22 09:26:29 +08:00 |
 | 36 Troevil 2015-10-22 09:27:06 +08:00 http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=te%E5%98%BB#¥%#%嘻 1231232 ……&*……&*嘻 [email protected] 感觉随机生成的,并不一定是真数据 |
| 37 pheyer 2015-10-22 09:28:51 +08:00 我感觉像是三年前的数据,而不是现在实时的数据 |
 | 38 lowbird 2015-10-22 09:29:23 +08:00 New Message:1 Totoal Message:84 ,,,,,发了一个后就是 1 了,,, |
 | 39 coffeecat 2015-10-22 09:30:04 +08:00 。。。 |
 | 40 w4lle 2015-10-22 09:30:47 +08:00 亲测可用 |
 | 42 pljhonglu 2015-10-22 09:41:18 +08:00 根据楼上的描述,我猜测事情的经过是这样的 13 年的时候爆了这个漏洞之后,上级命令程序员赶紧修复。 奈何接口太老(根据返回的数据非 json 等结构化数据推测的),代码已经面目全非。所以程序员无奈之下只好让非法邮箱返回个随机结果。。。 |
 | 43 Orzpls 2015-10-22 09:45:10 +08:00 via Android 已验证几个邮箱,结果并不准。 |
 | 44 Sleebi 2015-10-22 09:55:10 +08:00 1 改密码改密保已经改到心累了,现在。。。 |
 | 45 GKLuke 2015-10-22 09:56:28 +08:00 New Message:0 Totoal Message:1145 |
 | 47 skywatcher 2015-10-22 10:08:08 +08:00 能被利用获取个人信息的才算漏洞吧,这个只是个接口,只能得到两个数字,这也算的话那各大公司的类似接口多了去了 |
 | 48 mogita 2015-10-22 10:10:42 +08:00 via iPhone @skywatcher 这两个数字在特定情形下很有价值。 |
 | 49 hahasong 2015-10-22 10:15:52 +08:00 试了下自己的 163 ,准确无误 |
 | 50 Kolin 2015-10-22 10:28:53 +08:00 163 邮箱存在,返回正确结果。不存在此 163 ,随机返回。 |
 | 51 webjin 2015-10-22 10:31:29 +08:00 我刚刚实验楼下,是真实有效的漏洞。 |
 | 53 ggiiss 2015-10-22 10:35:45 +08:00 |
| 54 webjin 2015-10-22 10:36:28 +08:00 |
 | 55 jydeng 2015-10-22 10:42:10 +08:00 试了下,确实可以,网易药丸 |
 | 56 jedyu 2015-10-22 10:45:32 +08:00 |
 | 57 zcbenz 2015-10-22 10:48:10 +08:00 这个漏洞两年前就有了,一直没修过…… |
 | 58 WayToPlay 2015-10-22 11:37:49 +08:00 只能确认邮件地址存在,然。。。 |
 | 59 imn1 2015-10-22 11:48:15 +08:00 不想再评论网易了,就如我对中国男足的感受那样~ |
 | 60 Solerer 2015-10-22 12:11:58 +08:00 via Android 总数不准 |
 | 61 killerv 2015-10-22 12:16:53 +08:00 163 准确,读取一封未读的邮件之后那个接口返回的数据还会变化,从此网易邮箱一生黑。 |
 | 62 saturnx 2015-10-22 12:29:38 +08:00 126 ,不准; 163 ,一开始不准,登录后再刷新就准了。 |
 | 63 Cryse 2015-10-22 12:38:59 +08:00 |
 | 64 silianbo 2015-10-22 12:40:37 +08:00 http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected] 大家试试这个? 对么: New Message:14 Totoal Message:1116 |
 | 65 popstk 2015-10-22 12:49:43 +08:00 试了下自己的邮箱还真的是 |
 | 66 maskerTUI 2015-10-22 12:54:41 +08:00 试了一下自己的,不准。 |
 | 67 professorz 2015-10-22 12:57:45 +08:00 这是一个 api 吧。。。缺少了 access_token 验证? |
 | 68 crab 2015-10-22 12:58:32 +08:00 |
 | 69 zhchbin 2015-10-22 13:52:24 +08:00 很奇怪,一个危害挺低的越权漏洞为什么就说 XX 药丸,而且这微博说的也是太夸大其词了。安全不应该是风声鹤唳,夸大其词。 这个接口其实访问量应该挺大的,虽然在各位看来是加上验证是理所应当的事情,但有没有想过带来的性能问题呢?(我记得之前新浪微博的在线实时查有多少条未读,私信,新粉丝等数据也是可以任意访问的,不知道现在是不是) |
 | 70 redkei 2015-10-22 13:59:32 +08:00 @saturnx @glchaos @Troevil @pheyer @v2what @saturnx 126 也是准的, 楼主给的是 163 的链接, 后面只能跟 163 邮箱: http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected] 126 邮箱是这个,我测试了非常准,我刚清空邮件过。 http://msg.mail.126.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected] |
 | 74 d0evi1 2015-10-22 14:19:31 +08:00 配合扫库,扫出有价值的账号来,然后破解,就发了。 |
 | 76 macleek 2015-10-22 14:22:16 +08:00 我想说好几年前就知道了。。。。包括 yeah 邮箱。。。。。 |
 | 78 coko156 2015-10-22 15:07:31 +08:00 有用! 用来看自己忘记密码的邮箱里有没有邮件... (换成 admin, http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected], 也有数据.....这.... |
| 79 crab 2015-10-22 15:15:56 +08:00 @zhchbin 看下 14 楼的,这种结合社工还是有危害的。不然按你这意思,干脆支付宝开放任意帐号金额查询,各大银行卡也开放任意卡号查询金额,反正查了又拿不走别人钱。 |
 | 81 flydog 2015-10-22 15:42:27 +08:00 竟然有这么多人认为这件事“然并卵”,大家已经习惯暴露隐私了么。首先不说这个接口返回的信息是不是敏感的、接口缺少鉴权是不是有意设计的,至少能说明网易对用户数据隐私的态度有问题。 而且这些数据,至少能让我知道我发给网易邮箱用户的邮件有没有被阅读。发个邮件阅读回执都要确认,更不要说暴露已读未读邮件的数量了吧。更何况定时监视这些数据甚至还能知道我阅读邮件的习惯,我实在想不出这些数据可以公开的理由。 至于还有人觉得是因为出于性能考虑而去掉鉴权,只能说呵呵。这一个接口是这样的,到底有没有更隐私的接口已经在暴露使用了,谁知道呢。 |
 | 84 okhaoba 2015-10-22 15:59:14 +08:00 不知道还有其他可用的 funcid 没? |
 | 85 niko 2015-10-22 16:09:33 +08:00 估计类似的 api 还有很多。 |
 | 86 liuzuo 2015-10-22 16:36:53 +08:00 8 小时,竟然还没封堵。。。。。。 |
 | 87 rainy3636 2015-10-22 16:39:16 +08:00 |
 | 88 twor2 2015-10-22 17:08:27 +08:00 有人说这是一个 碧油鸡,图样图森破,这是一个福优扯儿 |
 | 89 mxalbert1996 2015-10-22 18:28:35 +08:00 @twor2 feature 读作福衣扯儿 |
 | 90 nvidiaAMD980X 2015-10-22 18:36:21 +08:00 via Android @flydog 天朝版的“棱角门”!!!谁知道后面还有多少没被公开的漏洞?? “我们看到的只是角落里的一只蟑螂,而看不到它背后的 20 多只蟑螂”,这句台词在这里验证了! 由于暴露在隐身大量外泄的环境里,他人都已麻木,作为一个好心提醒的人,反而被视为异类……………… |
| 92 Troevil 2015-10-22 19:27:41 +08:00 刚刚看了下已经修了 全返回 -1 了 |
 | 93 xavierskip 2015-10-22 20:05:38 +08:00 我的一个非常老的邮箱号有效,显示 New Message:1 Totoal Message:970 ,登录进去看确实是未读一封邮件。 另外一个新注册的邮箱失效,返回 New Message:-1 Totoal Message:-1 |
 | 95 cmxz 2015-10-22 21:49:18 +08:00 一个不太严重的越权而已 |
 | 97 GPU 2015-10-22 23:25:59 +08:00 年人是想搞大新啊. |
 | 98 ctsed 2015-10-23 00:41:11 +08:00 微博消息数量也有 |
 | 99 zonghua 2015-10-23 01:46:57 +08:00 via iPhone 权限框架是怎么做的! |
 | &nbp; 100 fuermosi777 2015-10-23 01:50:45 +08:00 好像确实也没什么用 |
Select Language