{"id":15,"date":"2009-09-17T14:26:50","date_gmt":"2009-09-17T17:26:50","guid":{"rendered":"http:\/\/blog.batori.com.br\/2009\/09\/17\/backdoor-no-yahoo-permite-validar-se-e-mail-e-valido\/"},"modified":"2011-09-22T12:11:49","modified_gmt":"2011-09-22T15:11:49","slug":"backdoor-no-yahoo-permite-validar-se-e-mail-e-valido","status":"publish","type":"post","link":"http:\/\/www.batori.com.br\/blog\/backdoor-no-yahoo-permite-validar-se-e-mail-e-valido\/","title":{"rendered":"Backdoor no Yahoo permite validar se e-mail \u00e9 v\u00e1lido."},"content":{"rendered":"<p>Os spamers sempre buscam validar as contas de e-mails para melhorar suas listas, vender ou trocar com outros spammers.<\/p>\n<p>A tela de autentica\u00e7\u00e3o do Yahoo (<a target=_blank href=\"https:\/\/login.yahoo.com\/config\/mail?&#038;.intl=br\">https:\/\/login.yahoo.com\/config\/mail?&#038;.intl=br<\/a>) possui alguns controles de seguran\u00e7a que evitam identificar se um e-mail \u00e9 ativo atrav\u00e9s de tentativa e erro no processo de autentica\u00e7\u00e3o:<\/p>\n<ul>\n<li>Exibe a mesma mensagem de erro em qualquer situa\u00e7\u00e3o, se o e-mail, a senha ou ambos est\u00e3o inv\u00e1lidos;<\/li>\n<li>Ap\u00f3s v\u00e1rias tentativas de autentica\u00e7\u00e3o, o Yahho exibe uma figura (capitcha) para validar os dados.<\/li>\n<\/ul>\n<p>Por\u00e9m, existe um p\u00e1gina disponibilizada pelo Yahoo que realiza a autentica\u00e7\u00e3o de usu\u00e1rios, mas n\u00e3o implementa os mesmos controles de seguran\u00e7a da p\u00e1gina on-line.<\/p>\n<p>Voc\u00ea pode usar a URL abaixo para verificar se um e-mail est\u00e1 cadastrado no Yahoo.<\/p>\n<p>http:\/\/69.147.112.199\/config\/isp_verify_user?l=maria@yahoo.com&#038;p=333333 <\/p>\n<p>O par\u00e2metro l \u00e9 o e-mail do usu\u00e1rio (login) e o par\u00e2metro p \u00e9 a senha. A p\u00e1gina ir\u00e1 responder exatamente o que est\u00e1 errado. Se o usu\u00e1rio n\u00e3o existe, a p\u00e1gina ir\u00e1 responder:<\/p>\n<p>ERROR:102:Invalid Login<\/p>\n<p>Se o login estiver ativo e a senha estiver errada, a p\u00e1gina ir\u00e1 responder:<\/p>\n<p>ERROR:101:Invalid Password<\/p>\n<p>Voc\u00ea pode verificar se seu e-mail tem conta ativa no Yahoo alterando o par\u00e2metro l e verificando a resposta.<\/p>\n<p>Como a p\u00e1gina n\u00e3o implementa nenhum controle para evitar rob\u00f4s, um spammer pode criar um script ou programa com um banco de dados de e-mail ou nomes conhecidos para verificar se os e-mails est\u00e3o ativos no Yahoo. Ou at\u00e9 mesmo tentar advinhar a senha atrav\u00e9s de ataques de dicion\u00e1rio e\/ou de for\u00e7a bruta.<\/p>\n<p>Este exemplo refor\u00e7a a recomenda\u00e7\u00e3o de sempre aplicar as boas pr\u00e1ticas de desenvolvimento seguro independentemente se a amea\u00e7a \u00e9 explicita ou n\u00e3o. Neste caso, a p\u00e1gina de valida\u00e7\u00e3o de servi\u00e7o deveria implementar a recomenda\u00e7\u00e3o de n\u00e3o revelar detalhes em caso de falha na autentica\u00e7\u00e3o e ter algum mecanismo contra ataques de dicion\u00e1rio ou for\u00e7a bruta. Estes controles podem ser implementados facilmente atrav\u00e9s de um Web Application Firewall.<\/p>\n<p>Refer\u00eancia: <a target=_blank href=\"http:\/\/tacticalwebappsec.blogspot.com\/2009\/09\/distributed-brute-force-attacks-against.html\">http:\/\/tacticalwebappsec.blogspot.com\/2009\/09\/distributed-brute-force-attacks-against.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Os spamers sempre buscam validar as contas de e-mails para melhorar suas listas, vender ou trocar com outros spammers. A tela de autentica\u00e7\u00e3o do Yahoo (https:\/\/login.yahoo.com\/config\/mail?&#038;.intl=br) possui alguns controles de seguran\u00e7a que evitam identificar se um e-mail \u00e9 ativo atrav\u00e9s &hellip; <a href=\"http:\/\/www.batori.com.br\/blog\/backdoor-no-yahoo-permite-validar-se-e-mail-e-valido\/\">Continue lendo <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":125,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"_links":{"self":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/15"}],"collection":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/users\/125"}],"replies":[{"embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/comments?post=15"}],"version-history":[{"count":1,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/15\/revisions"}],"predecessor-version":[{"id":41,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/15\/revisions\/41"}],"wp:attachment":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/media?parent=15"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/categories?post=15"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/tags?post=15"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}