未经验证的邮件邀请机制存在的问题

Published: 2017-07-26

Tags: Python

本文总阅读量

Processon是个在线流程图导图制作工具,还是很不错的,几个月前的一天,想去上面做个流程图,发现出新版了,页面变漂亮了,推出了收费的个人版,免费版有9个文件数量

查阅了下说明,看到可以通过邀请好友增加文件数,每成功邀请一个注册用户,则赠送三个文件额度

想到注册时没有验证码,我觉得这个流程是存在安全隐患的,比如使用脚本和临时邮箱...刷文件数

于是花了两个小时证实了我的猜测是可行的

三个多月前写的测试脚本,现在Processon已经屏蔽了一些临时邮箱,我也反馈了这个问题,可以记录一下

大致流程就是先去临时十分钟邮箱处申请个邮箱,然后访问邀请连接,用申请的临时邮箱注册,提交注册信息后,判断页面发送邮件成功,则去十分钟邮箱的内容页轮询刷新,获取邮件内容后解析出确认链接,访问后则成功增加三个文件数

使用脚本处理这个流程,只需要十一二秒中

processon

这个流程是不健壮的,下面几个办法都能增加刷邀请的难度:

  1. 注册账号的时候添加验证码验证
  2. 限定注册的邮箱为国内外主流邮箱
  3. 访问激活链接时添加验证码验证

processon有用户反馈群,之前加群的时候我在群中提起过为注册添加验证码功能,似乎没有被重视,而且有个用户说影响用户体验...

考虑到processon没添加验证码,代码就不记录了,今天无意中看到之前写的脚本,虽然我用的临时邮箱被屏蔽了,但是临时邮箱还有很多的

想了下,还是又跟processon的人反馈了下这种可以刷文件数的问题

processon

另外,临时邮箱还是可以做不少事情的,最正确的做法是在访问频次很低的网站需要注册时使用,避免广告或者垃圾邮件的困扰,使用临时邮箱不要发送或接收重要信息,以防临时邮箱被入侵导致信息泄露