В возрасте 20 лет я запланировал запланированный паспорт. Через несколько недель мне позвонил Крукс. С самого начала они начали «относиться» к мне, чтобы укрепить мой PDN, чтобы укрепить уверенность. В разгар разговоров «Джентльмены технической поддержки общества N», называемого шахтом Новый Паспортные данные!

Я был ужасно удивлен скоростью утечки нового паспорта, и это стало интересным: кто был источником сливы? Затем я нашел взлом жизни, который помогает высокой вероятности знать, откуда взялась утечка (я использую ее на сегодняшний день).

В чем суть?

Если вы добавите на свою панель электронной почты «+» (обязательно символ «@») и любой текст (например,, например, email+tet@gmail.com), затем почтовые услуги (Gmail, Mail.ruПерспективы и т. Д.) Будет рассмотрено Одинаковый адрес. Буквы будут приходить в основное электронное письмо, но текст после символа «+» отличается и поможет следовать источнику.

Это происходит из -за того, что текст после «+» игнорируется сервером обмена сообщениями при доставке букв, но хранится в адресе получателя.

Как это работает?

Представьте, что у вас есть почтовый ящик Andrew.andreev.99@mail.ru::
1. Вы зарегистрированы на сайте с адресом, например, Andrew.andreev.99+github@mail.ruПолем
2. Письма этого сайта придут на Andrew.andreev.99@mail.ruНо получателю будет впечатляющим Andrew.andreev.99+github@mail.ru

Пример:

Сообщение, которое поступает от github.com

Сообщение, которое происходит от github.com

3. Если Github «соль» кому -то вашим данным, то спам пойдет на Andrew.andev.99+github@mail.ru (и приедет на Andrew.andev.99@mail.ru), и вы легко поймете, где у спамеров есть данные о спамерах.

Почему я могу использовать?

  1. Мониторинг утечек данных (Приведенный выше пример)

  2. Организация писем: Вы можете создавать уникальные адреса для каждой услуги (например, Email+netflix@gmail.com,, email+github@gmail.com) и настроить фильтры для автоматической сортировки.

  3. Тест и запись для разработчиков или тестеров: Используйте «+» для создания временных адресов (например, Email+tet1@gmail.com,, Email+tet2@gmail.com) Для большинства сайтов одно из этих электронных писем считается разными электронными письмами. Те. По почте становится возможным записывать неограниченное количество учетных записей.

ЧИТАТЬ  Как увидеть себя 2025 Выбор в воскресенье: дата, время, живи, живой поток

Что имеет к этому отношение HABR?

Я думаю, что все знают, что одна учетная запись на Haber может быть сделана по одному письму. Но что произойдет, если я докажу вас наоборот? ..

Итак, у нас есть письмо Andrew.andreev.99@mail.ruМы идем к опыту. Давайте попробуем создать учетную запись для почты Andrew.andreev.99+test1@mail.ru с прозвищем Ruvmtest1::

Затем включил Andrew.andreev.99@mail.ru Код подтверждения наступает, где указан получатель Andrew.andreev.99+test1@mail.ru::

Введите код и доступ к новой учетной записи:

Давайте пойдем дальше — давайте попробуем создать другую учетную запись. На этот раз мы указываем как письмо Andrew.andreev.99+test2@mail.ru с прозвищем Ruvmtest2::

По почте Andrew.andreev.99@mail.ru Код подтверждения возвращается, где указан получатель Andrew.andreev.99+test2@mail.ru::

Введите код и доступ к новой учетной записи:

Таким образом, из письма вы можете создать неограниченное количество учетных записей, потому что ресурс не понимает, что «+» и все, что идет на поле электронная почта — Это комментарий. Те. Ресурс «думает», что это все разные буквы.

Как это исправить?

Определенные ресурсы для устранения «функциональности» выше запрещают использование соединения «+» в поле обмена сообщениями (например, Mail.ru) Это, вероятно, самый простой способ устранить проблему.

Вы можете найти более продвинутые способы фильтрации пользовательского ввода. Давайте поделимся идеями в комментариях, как устранить проблему, если вы были разработчиком такого ресурса 🙂

Если вам понравилась статья и вы хотите узнать больше о таких взломах жизни, вы можете подписаться на мою Телеграмма канала от автора!

Upd: После написания проекта статьи я отправил его, чтобы ознакомить Хабру для сотрудников и получил следующий комментарий:

Алексей @bomburum

Habra User Assistance Service Manager

В целом, я обсуждал с разработкой — они это знают, они не преднамеренно управляли, потому что нет никакого противоречия в соответствии с RFC, другие специальные системы не разрешены.

Как уязвимость, мы не ценим это — нет «полета данных» или типа, максимум для спама может использоваться. Но коллеги согласились с тем, что можно что -то завершить — чтобы вы могли использовать преимущества по почте, но в то же время многие учетные записи не регистрировались (легче решить проблему немного более элегантной, чем у Mail.ru).

Для этого коллегам нужно время, было бы круто, если бы эта публикация была сделана чуть позже (с учетом нашего комментария). Просто если вы опубликуете это сейчас, так что, возможно, кто -то просто за спамом.

Через несколько часов появилось сообщение о том, что «Hotfix» с запретом на использование «+» перевернута в строке с электронной почтой, чуть позже, алгоритм будет завершен («+» будет авторизован), и он будет работать, как и должно ». ХАБРОВДСЕВ ПРОИЗВОДИТЕЛЬНАЯ РАБОТА, Уважение!

ЧИТАТЬ  Нравится Падший парень? Тогда посмотрите эти 3 комедийных боевика прямо сейчас | Цифровые тенденции

Хабра была необходима в течение более чем месяца, чтобы сделать «как и должно быть», я цитирую:

Как Hotfix, мы запретили регистрацию почты с помощью символа «+», чтобы никто не начал массово записывать учетные записи. Они также проверили количество пользователей с такими адресами — определенная сумма была найдена, но не было обнаружено никаких признаков их несправедливого использования. Нам нужно было время для неожиданной завершения видов, развития и тестов, но, следовательно, мы улучшили механизм проверки почты — символ «+» в почтовом адресу стал доступным. Теперь это может быть указано во время записи (однако, на все преимущества, перечисленные выше), «под капотом», часть адреса после того, как символ «+» очищается »и проверяется на уникальность, он не будет работать, чтобы сохранить много учетных записей буквой.Полем

Ну, все честно. По общему признанию, теперь все, что описано выше, больше не может повторяться на habr.com, но один и тот же github.com всегда доступен для такого опыта.

И здесь я не могу удержаться от напоминания вам, что

Статья имеет исключительно информационный характер и не является инструкцией или апелляцией в Комиссию по нелегальным действиям. Наша цель состоит в том, чтобы сказать существующие уязвимости, которые могут использовать злоумышленники, предупреждать пользователей и давать рекомендации по защите своей личной информации в Интернете. Помните, что не забывайте о безопасности ваших личных данных.

Source