من دیروز یه مشکل امنیتی عجیب در جیمیل پیدا کردم که به وسیله اون تونستم به دو آدرس جیمیل هم نفوذ کنم
اون مشکل خیلی جدی نیست اما به هر حال مشکل هست و میشه بدون داشتن پسورد جیمیل, ایمیل های طرف رو در یه سیستم عامل قدیمی دریافت و مشاهده کرد...

این مشکل رو در کدوم قسمت سایت گوگل میتونم گزارش کنم؟

- - - Updated - - -

تماس گرفتن با گوگل ممکنه یا نه؟
شما جای من بودید چیکار میکردید؟

سلام
جای شما بودم میفروختمش :دی( درصورت امکان وارد جیمیل من شوید و عنوان اخرین ایمیل را ارسال کنبد برای اثبات این مورد البته در صورت تمایل jahromweb2012[at]gmail.com
نمیدونم بشه تماس تلفنی داشت ولی باید چیزی برای این موراد داشته باشه

گوگل معمولا برای گزارش مشکلات امنیتی مبلغ بسیار خوبی میده .

جسارتا، فیلم هندیه مگه برادر من؟!
لطف بفرمایید یکی از عناوین ایمیل‌های بنده رو ارسال بفرمایید، در صورت درست بودن، به مبلغ ۱۰ میلیون تومن میخرم این باگ رو ازتون!!
kolahsefid |@| gmail.com

مشکلی که من پیدا کردم این نیست که بشه به همه ایمیل ها نفوذ کرد
اما مثلا من یه آدرس ایمیل رو به شما میدم و شما پسورد اون رو تغییر بدید و تمامی تنظیمات رو هم ریسیت کنید تا مطمئن بشید دایورت نیست! اما بازم میتونم آخرین ایمیل ها رو مشاهده کنم (در برخی از موارد میشه و برخی از موارد هم نمیشه)
میدونم مشکل بزرگی نیست!
اما میشه یه ایمیل رو که پسورد اون تغییر کرده, و قبل از تغییر پسورد اون رو داشتی بهش نفوذ کنی (فقط 1 بار میشه نفوذ کرد و به محض قطع شدن, دیگه نمیشه وارد اون شد چون میفهمه پسورد تغییر کرده)

این اتفاق فقط در یه سیستم عامل قدیمی قابل اجرا هست و فقط 10% تا 30% از موارد میشه نفوذ کرد

خوب داری میگی رمز داری پس اسمش نفوذ نیست گوگل رمز قبلی در صورت فراموشی رمز جدید فکر کنم قبول میکنه

خوب داری میگی رمز داری پس اسمش نفوذ نیست گوگل رمز قبلی در صورت فراموشی رمز جدید فکر کنم قبول میکنه
درسته. نفوذ نیست
اما در صورت تغییر دادن پسورد ایمیل, میشه با پسورد قبلی وارد ایمیل شد (فقط 1 بار میشه. اونم با یه ترفند و سیستم عامل و نرم افزار خاص)

اما به هر حال از نظر من یه مشکل امنیتی هست و باید برطرف بشه

سلام..

موفق باشيد..

سلام..

موفق باشيد..

میدونم شما فکر میکنید من دارم شما رو مسخره میکنم و...
اون موضوع که میشه با پسورد قبلی وارد ایمیل شد فرق میکنه!
با این ترفند میشه بدون هیچ گونه تغییر دوباره پسورد و... در کمتر از 1 ثانیه وارد ایمیل شد و توی همون 1 بار که وارد میشید میتونید ایمیل ها رو بخونید و حتی اگه زرنگ باشید شاید بتونید با یه ترفند کاری کنید که دوباره بتونید واردش بشید (چیزی که من در فکرش هستم اینه که ورود رو دائمی کنم)

اصلا شما 10 بار پسورد رو تغییر بدید, باز هم میشه وارد شد

سلام.

مشکلی که پیدا کرده اید بیشتر جنبه ی backdoor و حفظ دسترسی بعد از نفوذ دارد.

موفق باشید./

گوگل به چیز رفت :(

دوست من میشه دقیقا کاری که انجام دادین رو به تمایش بزارید
؟

فقط برای اثبات شدن صحبت های شما درصورتی که بنده یک ایمیل بسازم و پسورد رو عوض کنم در نهایت پسورد قدیمی رو به شما بدهم می تونید ایمیل آخر رو به بنده بدید ؟

و سوال بعدی : اگر وضعیت اعتبار سنجی با تلفن همراه باشه شما می تونید دور بزنید ؟

سلام
دوست عزیز اگر باگ واقعا وجود داشته باشه در صورت گزارش به گوگل حداقل 10,000 دولار پاداش دریافت خواهید کرد + سرتیفیکیت معتبر از خود گوگل
لینک گزارش باگ:
https://www.google.com/appserve/security-bugs/new

جسارتا، فیلم هندیه مگه برادر من؟!
لطف بفرمایید یکی از عناوین ایمیل‌های بنده رو ارسال بفرمایید، در صورت درست بودن، به مبلغ ۱۰ میلیون تومن میخرم این باگ رو ازتون!!
kolahsefid |@| gmail.com

سلام

حمید جان امنیت صدرصد نیست اگر صدرصد بود گوگل بخش report باگ قرار نمی داد !!!

اما باز هم جالب است :)

لطفا بعد از گزارش نتیجه را اعلام کنید و بهتر است تاپیک بسته شود .

هر چند مشکلی که پیدا کردم مربوط به نفوذ نیست, با چند نفر در این مورد صحبت کردم و تایید کردن که این میتونه یه مشکل امنیتی باشه! اما من فقط مشکل رو پیدا کردم و راه حلی برای حل مشکل ندارم
الآن هم با چند نفر از کارمند های گوگل در ارتباط هستم تا مشکل رو دوباره بررسی کنیم و مطمئن بشیم... ( فقط انگلیسی صحبت میکنن (:| )
اگه به نتیجه ای رسید, همین جا اعلام میکنم :)