漏洞描述:
MSN是一个国际流行的即时通讯工具,尤其在商务交流中的地位QQ远不可及。很多公司只允许上MSN而不允许上QQ,可见其一斑。然而MSN的登录帐号却不像QQ那样去使用申请来的数字,而是用邮箱作为登录帐号。
获得MSN帐号主要是两种方式。其一,是在MSN的官方网站上申请@msn.com或@hotmail.com邮箱的同时绑定帐号;另外就是使用自己的邮箱在MSN的官方网站上登记注册。呵~问题就出在这第二种方式上……
在使用自己邮箱登记MSN帐号时,MSN虽然提示会给那个登记的邮箱发信,然而却没有进行有效性验证。造成可任意伪造邮箱格式进行MSN的帐号注册。
严格来讲,这不算什么漏洞,然而当有人抢占了本属于别人的帐号时,拥有邮箱的本人无法使用自己的邮箱作为MSN帐号时,这时也许算的上漏洞了吧。再或者当有人恶意抢注了国家重要机关的邮箱作为MSN帐号进行恶意诈骗时。这时也许算的上漏洞了吧!
正文:
在*******中央人民政府门户网站成立不久,我恰巧发现了这个漏洞。于是顺手注册了一个国务院办公厅的MSN(
ljy@gov.cn)。与人聊天时,很多人都会问我是不是在国务院就职。哈哈,看来唬人还蛮容易的。还好我只是玩玩,不会做坏事。
下面公开抢注过程,希望大家本着玩玩的态度,抢注之后,做一个守法的好公民^_^
抢注过程
1.打开
http://get.live.com/spaces/overview 这个网址,点击免费试用按钮进入注册页面如图一
图一
2.在注册页面里点选“使用您自己的电子邮件地址”并输入你要抢注的邮箱名,如图二。其它注册步骤不详细讲解,按照注册页面的要求一步步的填写即可。
图二
3.注册提交完成后,会提示你要不要注册MSN空间(相当于博客),这里看你自己的需要啦,有需要就确定,不需要取消就可以了。然后下载并安装好MSN软件,7.0以后的版本叫live messenger。
4.用刚刚注册帐号登录MSN即可开始你的聊天生活了,如图三。
OK,兄弟们快行动吧。此文到此结束,没有什么技术含量。仅作为自己的乐趣与大家分享好啦。同时也希望MSN官方能尽快验证邮箱的有效性,不然被坏人利用了可不好!!!
图一
