. : : ClassiClub ForuM : : .

会员中心 论坛帮助 日历事件 标记论坛已读
返回   精品技术论坛 » 技术论坛 » 『软件使用』

『软件使用』: 电脑软件推荐, 电脑软件使用, 经验分享



发表新主题 回复
 
主题工具
jujiananren
 
jujiananren 的头像
中级会员
 
资 料:
注册日期: Nov 2010
帖子: 412 声望值: 2
精华: 0
#1 旧 2019-05-29, 18:43:34 默认 【求助】遇到的一件怪事:邮箱后缀还能伪造吗
jujiananren 当前离线  

某酒店集团网站搞活动,活动需要先在其官网注册后才能获得资格,只针对部分大企业员工开放注册,注册时需要填写邮箱,通过识别邮箱后缀来判断是否是那些大企业的员工。邮箱后缀不符合的页面提交时会直接报错,符合的会往填写的邮箱里发一封邮件,邮件内含有注册链接,点击后注册成功。但是,发现有人能批量搞这个,就是说他不是这些企业的员工,却可以大量地给他人注册,我看到他能收到那个注册邮件。这是咋回事呢

补充:附上活动提交页面 https://world.hyatt.com/content/gp/e...ier-offer.html
开始我也怀疑这些人压根不是搞定了邮箱,而是直接破解了最后的注册链接,因为这些人从来都是不能提供邮箱,用邮箱发一次邮件都不行。直到后来我看到了收到的邮件的图片,才觉得不是单单破解了注册链接(这个图片ps出来不难,但我觉得他们没这必要)。并且也不太像回帖里说的搞定了公司网管,因为看起来他们很多公司都能做,更像是技术手段搞定的。

此帖于 2019-05-30 17:24:47 被 jujiananren 编辑. . 原因: 补充
回复时引用此帖
tpboy
 
tpboy 的头像
热心会员
 
资 料:
注册日期: Jan 2001
帖子: 2,685 声望值: 4
精华: 0,解答: 4
#2 旧 2019-05-29, 18:59:51 默认
tpboy 当前离线  

这个不是很正常吗,你只要有朋友在其中一个这样的企业里任职就很容易解决吧,如果碰到是网管帐号邮箱帐号随便搞,用完删除掉就行
回复时引用此帖
bbq
 
bbq 的头像
高级会员
 
资 料:
注册日期: Feb 2000
帖子: 782 声望值: 3
精华: 0,解答: 2
#3 旧 2019-05-29, 19:02:00 默认
bbq 当前离线  

这判断脚本估计是放在web页面里了,改在服务端判断呗

发自 iPhone 6s Plus 使用 CCF客户端


非常感谢你的回复!
回复时引用此帖
孤魂
 
孤魂 的头像
支柱会员
 
资 料:
注册日期: Oct 2001
帖子: 7,918 声望值: 7
精华: 3,解答: 16
#4 旧 2019-05-29, 20:23:57 默认
孤魂 当前离线  

引用:
作者: bbq 查看帖子
这判断脚本估计是放在web页面里了,改在服务端判断呗

发自 iPhone 6s Plus 使用 CCF客户端
跟服务端有啥关系?明显就是二楼所说的,内部有人。


我是孤獨的靈魂, 遊蕩在漆黑的夜.
回复时引用此帖
aspirer
 
aspirer 的头像
支柱会员
 
资 料:
注册日期: Feb 2011
帖子: 4,684 声望值: 4
精华: 1,解答: 18
#5 旧 2019-05-29, 23:50:51 默认
aspirer 当前离线  

要靠注册页面代码才知道。说不定就是简单js上的限制,很容易绕过。直接抓包然后模拟提交数据就好了。


既然你发技术版,那就要用技术来证明。“明显”二字的结论下的太明显不充分。
回复时引用此帖
imlogo
 
imlogo 的头像
热心会员
 
资 料:
注册日期: Dec 2001
帖子: 8,422 声望值: 4
精华: 0,解答: 19
#6 旧 2019-05-30, 10:04:32 默认
imlogo 当前离线  

引用:
作者: aspirer 查看帖子
要靠注册页面代码才知道。说不定就是简单js上的限制,很容易绕过。直接抓包然后模拟提交数据就好了。
符合的会往填写的邮箱里发一封邮件,邮件内含有注册链接,点击后注册成功

这个才是关键,如果没有真的邮箱,是无法收到并点击这个确认链接的
类似于手机验证码,除非用伪基站,否则很难冒用他人的手机号码

是不是注册链接太简单被人破解了?


我翻开历史一查,这历史没有年代,歪歪斜斜的每叶上都写着“仁义道德”几个字。我横竖睡不着,仔细看了半夜,才从字缝里看出字来,满本都写着两个字是“吃人”!
回复时引用此帖
stny
 
stny 的头像
热心会员
 
资 料:
注册日期: Sep 2001
帖子: 6,670 声望值: 5
精华: 1,解答: 13
#7 旧 2019-05-30, 16:12:49 默认
stny 当前离线  

引用:
作者: jujiananren 查看帖子
某酒店集团网站搞活动,活动需要先在其官网注册后才能获得资格,只针对部分大企业员工开放注册,注册时需要填写邮箱,通过识别邮箱后缀来判断是否是那些大企业的员工。邮箱后缀不符合的页面提交时会直接报错,符合的会往填写的邮箱里发一封邮件,邮件内含有注册链接,点击后注册成功。但是,发现有人能批量搞这个,就是说他不是这些企业的员工,......
看起来这个验证是在页面上做的,那应该很容易绕过去啊
回复时引用此帖
winr
 
winr 的头像
终极会员
 
资 料:
注册日期: Feb 2011
帖子: 13,847 声望值: 4
精华: 1,解答: 16
#8 旧 2019-05-30, 17:03:03 默认
winr 当前离线  

引用:
作者: stny 查看帖子
看起来这个验证是在页面上做的,那应该很容易绕过去啊
符合的会往填写的邮箱里发一封邮件……这个才是难点。
回复时引用此帖
jujiananren
 
jujiananren 的头像
中级会员
 
资 料:
注册日期: Nov 2010
帖子: 412 声望值: 2
精华: 0
#9 旧 2019-05-30, 17:30:24 默认
jujiananren 当前离线  

引用:
作者: tpboy 查看帖子
这个不是很正常吗,你只要有朋友在其中一个这样的企业里任职就很容易解决吧,如果碰到是网管帐号邮箱帐号随便搞,用完删除掉就行
不太像搞定了公司网管这么简单,因为看起来他们很多公司都能做,更像是技术手段搞定的。
回复时引用此帖
jujiananren
 
jujiananren 的头像
中级会员
 
资 料:
注册日期: Nov 2010
帖子: 412 声望值: 2
精华: 0
#10 旧 2019-05-30, 17:33:29 默认
jujiananren 当前离线  

引用:
作者: imlogo 查看帖子
符合的会往填写的邮箱里发一封邮件,邮件内含有注册链接,点击后注册成功

这个才是关键,如果没有真的邮箱,是无法收到并点击这个确认链接的
类似于手机验证码,除非用伪基站,否则很难冒用他人的手机号码

是不是注册链接太简单被人破解了?
开始我也怀疑这些人压根不是搞定了邮箱,而是直接破解了最后的注册链接,因为这些人从来都是不能提供邮箱,用邮箱发一次邮件都不行。直到后来我看到了收到的邮件的图片,才觉得不是单单破解了注册链接(这个图片ps出来不难,但我觉得他们没这必要)
回复时引用此帖
ASBai
 
ASBai 的头像
热心会员
 
资 料:
注册日期: May 2005
帖子: 4,639 声望值: 5
精华: 18,解答: 26
#11 旧 2019-05-30, 22:07:05 默认
ASBai 当前离线  

大概看了下,感觉在浏览器端确实做了一些校验。而且还专门做了一点混淆:用两张表把常量、变量和函数封装起来相互引用。不过真有心搞这个的话也就是多花点时间的事。

关键是服务器端有没有做过二次校验?如果仅仅在浏览器端做了校验,提交到服务器端,服务器就不再次检查了,那就很容易绕开 js 随便发个啥邮箱服务器都会生成注册连接发过去。
上传的图像
文件类型: png 剪贴板01.png (111.9 KB, 157 次查看)


baiy.cn
俺的原创免费作品站
回复时引用此帖
stevenxu
 
stevenxu 的头像
支柱会员
 
资 料:
注册日期: Oct 2001
帖子: 5,184 声望值: 3
精华: 0,解答: 14
#12 旧 2019-05-31, 08:46:07 默认
stevenxu 当前离线  

酒店的IT都很渣。不过这种事情会有事后审计的,通过不正常方式参加的会被干掉。


万物非主,唯曼尼大神是主
至圣之先师,亚当史密斯
回复时引用此帖
发表新主题 回复

主题工具

论坛规则  发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛启用 vB 代码
版面启用 表情符号
版面启用 [IMG] 代码
版面禁用 HTML 代码


所有时间均为北京时间, 现在的时间是 00:43:28.

本论坛带宽由迅通网络提供
SSL证书由TrustAsia提供

Copyright © 2000 - 2019 ClassiClub Forum All Rights Reserved.
粤ICP备09123456号