如何用Microsoft垃圾邮件轰炸你的手机

Posted 2021-04-01 网络哨所

Microsoft有一个简洁的网页，可帮助您在手机上设置 Outlook 。

您可以扫描网页上的QR码，然后转到相应的下载链接…

（对于最初不诚实地触发所有垃圾邮件的人，如果执法部门或监管机构发现了垃圾邮件，也可能会因此而告终，但这又是一个问题。）

好吧，想知道微软对“相同数字”的检测到底有多强大，以及是否可以轻易地绕过它。

使用本地安装的Web代理，他窥探了自己的Web流量，以查看从浏览器到Microsoft的数据是什么样的。

令他感到惊讶的是，他发现通过在结尾处以非字母字符（例如，星号（*）或加号（+））重播原始Web请求，他可以再给数字发短信三遍。

然后，他可以选择另一个字符并再进行三个操作，依此类推，从而允许他高速绕过三个消息的限制，方法是每次都进行一次微小的修改就生成新的HTTP请求。

换句话说，在记录，测试和使用数字之前，并没有将其修剪成最简单的正确形式（您会在行话中看到这种规范化）。

结果，实际上相同的数字在理论上似乎有所不同，从而可以绕过速率限制。

这与Google在2017年遇到的问题类似，当时一个虚假地声称来自供应商WhatsApp，Inc.的广告软件应用程序可以通过简单地在Play商店验证检查中添加空格字符来躲过 Play商店的验证检查公司名。

在外观上，您无法分辨出两者之间的区别，因此新应用看上去合法，但是通过编程，两家公司的名称长度不同且包含不同的字符-因此，新应用并没有被视为冒名顶替者，并且还是被接受。

该怎么办？

好消息是您无需执行任何操作– Luca负责地向Microsoft报告了此问题，Microsoft修复了该问题。

我们认为要学习的课程是：

• 搜寻错误不仅仅与机器代码骇客和逆向工程有关。您无需打开调试器和反汇编器即可进行有用且高效的网络安全工作。

• 错误看似简单。在这种情况下，通常会被忽略的单个字符足以绕过重要的速率限制。如果您是一名程序员，请不要忘记测试显而易见的事物以及您需要处理的所有复杂“关键案例”。

• 负责任的错误报告确实有效。如果您发现错误，则很容易通过在光荣的荣耀中披露它们的震撼力来引起巨大轰动，但是正如Luca所示，您可以做正确的事情，帮助其他所有人，并且仍然得到认可-无需担心安全性陷入噩梦。