@Jimmy 记得来看。
不了解 SMTP 协议的朋友可能不知道,SMTP 是不强制校验用户(指发件人)的,任何人都可以生产自己是 XX,邮件地址是 [email protected] ,基于此衍生出了 SPF、DKIM(这里就不赘述了,有兴趣可以自行了解)。
有了这个原理,我们就可以查看 2libra 是否配置了 SPF 然后实施钓鱼。
查看 2libra 的 SPF 配置情况,可以看到没有配置 SPF,那么就可以钓鱼
可以自己搓协议也可以用在线的,这里为了方便就用了在线服务。
在线邮件伪造: https://emkei.cz/
From Name:告诉对方我是谁(名称)
From E-Mail:告诉对方我的邮件地址(发件人)
然后发送即可。
钓鱼邮件送达
钓鱼邮件正文
下面是配置了 SPF 的
可以检查自己的邮件服务是否配置了 SPF、DKIM
我也是以前用免费企业邮箱的时候了解的 spf,然后才知道邮件头伪造。
坏得很啊 这种漏洞一般人发现不了
高级网管可以发现 🤔,现在知道网管和信息安全的区别了吧。
学习了,这块真不懂
一般用第三方的邮件服务应该都会提示建议配置 SPF,之前很多免费的还没有 DKIM,现在基本都有 SPF 和 DKIM。
谷歌和微软的企业邮箱基本都直接自带这些,尤其是微软,只要给授权一下 cloudflare dns 权限,直接帮你把 SPF/DKIM/DMARC 全配置好
分享一个网站,只要给他生成的邮件地址发一封邮件,就能给你分析你的邮局是否有这些配置,详细的验证过程如何: https://www.learndmarc.com/
@uuu 邮件托管服务有自动配置、手动配置,本站的邮件是第三方的推送服务,一般都是提示后手动配置。对于电子邮局的检测还有可信度的。 https://www.mail-tester.com/?lang=zh
学习了
找到 bug 的,站长是不是可以奖励一下
他给 2libra 找了好多安全问题了实在感谢。
之前在其他渠道反馈过,这种可以公开的就当成案例发出来了,上次还有一个帖子,也是本站的。
可以将任意用户的头像重置
CSRF 原理与相关利用(本站用户头像重置漏洞,已修复)
太强了佬
太强了,大佬
确实不应该
我十年前给公司邮件系统就配置好这些基础的防护措施了
不过这也说明,哪怕漏洞很低级,也其实会广泛存在
有遗忘也正常,这种风险还是可以接受的,因为只是钓鱼。
没想到啊,还有这一招
,还有多少大佬潜伏在 2 站?
大佬牛逼
长知识了