当Facebook只是一家只有几个成员的小公司时,它需要一种方法来获得更多的成员,使用Facebook的邀请系统来邀请你的朋友。
最早的广告发布是在主流的网站上手动发布广告(比如用Google),或让您的成员使用其电子邮件帐户邀请其朋友。
现在Facebook成长起来,当您想要更多的网站访问者时,你会在Facebook上做广告,因为每个人都在那里。
Facebook的邀请系统:
当用户在初期加入Facebook时,几乎看不到任何东西。因此,Facebook要求其成员使用由注册用户创建的电子邮件来邀请其朋友。
用户提供了他的朋友的电子邮件地址,他们从Facebook收到了一封电子邮件,说“ 你好啊,你的朋友现在在Facebook上,欢迎您也加入Facebook!”。
有趣的部分:
当我遇到Facebook的这一功能时,我立即开始对其进行分析。我想,如果以用户A的身份邀请他们加入,并试图愚弄他们,那就太好了,尽管这样做的人是用户B。
当我不断地邀请人们时,我注意到了一些有趣的事情:每个到特定电子邮件地址的邀请中都包含一个邀请ID:ent_cp_id。

单击“邀请到Facebook”时,会弹出一个小窗口,并显示被邀请者的完整电子邮件地址。恶作剧的同时发现了邀请的时候会显示完整的电子邮件地址。

我写了一封邀请信,并且邀请了我的一位好友。
这时我在思考:ent_cp_id是控制邀请邮件的,我已经邀请了这个用户,他的ent_cp_id应该不能再访问了。但我错了。它的ent_cp_id还在那里。事实上,只要重新传输HTTP请求,我就可以再次邀请相同的用户。
但是这个漏洞最有趣的部分是,任何用户都可能看到ent_cp_id后面的电子邮件地址。
这意味着,任何通过电子邮件被邀请到Facebook的人都很容易受到电子邮件地址泄露的影响,因为该邀请从未被删除,而且任何用户都可以访问它。攻击者接下来要做的就是随机猜测ent_cp_id。正如我所说,之前的ent_cp_id没有被删除,所以成功率很高。
总结:
当您处理敏感信息(例如电子邮件地址)时,应始终限制可以执行某项操作的次数。另外,建议擦除可能链接到该敏感信息的任何ID,或者至少对其进行哈希保护。
Facebook很快解决了这个问题,并给予了赏金。

翻译自medium.com

免责申明:本文由互联网整理翻译而来,仅供个人学习参考,如有侵权,请联系我们,告知删除。

Facebook受邀者的邮箱地址披露相关推荐

  1. Facebook证实更改用户个人主页电子邮箱地址

    腾讯科技讯(明轩)北京时间6月27日消息,据国外媒体报道,Facebook周二证实,该公司确实在本周一对用户个人主页(Profile)中的电子邮箱地址进行了自动更改.Facebook表示,此举过于鲁莽 ...

  2. 清华天才王垠受邀面试阿里P9,被阿里P10赵海平面跪,整个事件回顾...

    点击上方"视学算法",选择"星标" 来源 :开发者技术前线 知乎上有一个话题:如何评价阿里 P10 赵海平对王垠的面试?最近成了热帖,这下赵海平跟王垠这次是真的 ...

  3. 白洋组公众号-植物微生组33天受邀原创-诚邀同行分享经验

    白洋组公众号-植物微生组33天受邀原创-诚邀同行分享经验 白洋课题组 白洋成立于2016年5月,研究方向为植物微生物组.实验室结合高通量微生物培养.宏基因组数据分析和微生物菌群重组等技术,系统地研究根 ...

  4. 高中毕业 84 岁奶奶自学编程受邀参加 WWDC,人生从来没有太晚!

    Masako Wakamiya(若宫雅子)在Eduvation x Summit会议上发表讲话. 图片来源:Tony Wan 作者 | 数小妹 责编 | 胡巍巍 本文经授权转载自DataGirls 知 ...

  5. @老徐FrankXuLei 受邀为上海师翊网络科技有限公司讲授《微软WCF分布式开发与SOA架构设计课程》

    原微博地址: http://weibo.com/1809430977/A4Iwn0Gth?type=repost 新浪微博:@老徐FrankXuLei 受邀为上海师翊网络科技有限公司讲授<微软W ...

  6. 机智云受邀加入中国智能家居产业联盟智慧酒店小组

    2017年5月8日,中国智能家居产业联盟CSHIA智慧酒店小组成立会议在深圳中兴和泰酒店召开,CSHIA智慧酒店小组正式成立.机智云作为物联网智能家居技术与服务先行者受邀加入CSHIA智慧酒店小组,并 ...

  7. ZDNS受邀出席腾讯云基础资源年会,分享《2020域名行业发展报告》

    4月29日,2021 腾讯云基础资源年度峰会在重庆举行,互联网域名系统国家工程研究中心(ZDNS)总经理邢志杰受邀参会,发表了题为<域名行业发展报告>的演讲,就全球域名发展现状及中国域名市 ...

  8. 王垠受邀面试阿里 P9,被 P10 面跪后网上怒发文,惨打 325 的 P10 赵海平回应了!...

    公众号关注 "GitHubDaily" 设为 "星标",带你了解圈内新鲜事! 整理自综合自知乎社区回答 & 互联网互联网坊间八卦 观点不代表本号立场 转 ...

  9. php 采集邮箱,采集邮箱的php代码(抓取网页中的邮箱地址)

    采集邮箱的php代码(抓取网页中的邮箱地址) 复制代码 代码如下: $url='http://www.jb51.net'; //这个网页里绝对含有邮件地址. $content=file_get_con ...

  10. 清华天才王垠受邀面试阿里P9,被阿里P10赵海平面跪,传言阿里P10赵海平被P11多隆判定3.25离职,整个事件回顾......

    来源 :开发者技术前线 知乎上有一个话题:如何评价阿里 P10 赵海平对王垠的面试?最近成了热帖,这下赵海平跟王垠这次是真的火了. 由于本事件像电影的情节一环扣一环,文章比较长,直接一句话说下该事件始 ...

最新文章

  1. 从大门看守到贴身保镖服务的安全纵深防御
  2. 【 C 】高级字符串查找之查找标记(token)函数 strtok介绍
  3. Qt修炼手册10_QTableWidget控件使用说明及实践
  4. shell脚本(五)——函数的格式、传参、变量、递归、函数库
  5. jquery ready方法实现原理
  6. 作为评审人完成了对其他小组第一阶段成果的评价
  7. SQLite-database disk image is malformed问题的解决
  8. 利用sklearn进行豆瓣电影评论的文本分类
  9. 少儿编程python学啥-少儿编程学什么?少儿编程课程体系介绍
  10. 关于excel表格直接引用和间接引用
  11. 关闭idea任务栏小图标
  12. 海明码的编码和校验方法
  13. UOJ 180【UR #12】实验室外的攻防战
  14. LOL服务器人数最新,英雄联盟大区人数排名
  15. CUDA学习笔记(持续更新——蜗速)
  16. 飞鸟如何去爱,才能爱上水里的鱼?
  17. webgl中解决深度冲突-多边形偏移
  18. Tomcat 启动报错: Failed to execute goal org.apache.tomcat.maven:tomcat7 Could not start Tomcat
  19. c语言在尾部添加新节点,在单链表最后插入节点
  20. Java编程那些事儿68——抽象类和接口(一)

热门文章

  1. 图片放大不失真 —— 矢量图
  2. 第二阶段 day02【Scanner类、Random类、ArrayList类】
  3. 在局域网内怎样使两台计算机共享,实现局域网内两台windows计算机之间数据共享...
  4. woj 1575 - Signal generators 单调队列优化dp + 瞎搞
  5. 梁宁增长思维30讲笔记 - 模式
  6. 面试中被问到三次握手四次挥手应该怎么回答?---------不看后悔系列
  7. 51单片机指令系统详解
  8. 1075:字符串统计
  9. 用linux安装包装ftp,Linux 安装vsftpd和ftp客户端
  10. 可以看计算机专业书籍的app,分享两个好用的读书APP