Ajax让Sohu邮箱成为垃圾邮件的帮凶

　　球速体育官方入口现在浏览器端以JavaScript为核心，基于各种Web标准(即:早已完成标准化的XHTML/CSS/DOM/XML/XSLT和正在进行标准化的XMLHTTP)的技术正在加速整合，Ajax就是这一系列技术的一个统称。其关键在于对浏览器端的JavaScript、DHTML和与服务器异步通信的组合。使用Ajax，可以使B/S(浏览器/服务器)模式的程序出现类似于C/S(客户机和服务器结构)的即时动态cool效果，实现不刷新页面，动态改变页面数据。

　　目前很多大型的网站已经大范围使用了Ajax技术，比如我们经常看到的：google搜索时出来的搜索次数以及可能搜索到的下拉列表、在注册用户时输入用户名后，自动显示该用户是否可以被注册等等。然而这项技术在给用户带来便利的同时，若是考虑不周也会给带来一定的安全隐患。

　　我们知道在开发程序用户登陆模块，处理用户登录失败时，出于安全方面考虑，不能返回给用户具体的“密码错误”或“用户名错误”，而要说：“用户名或密码错误”。(如图1)

　　既然这样，当然就不能在其他地方给用户返回，具体是用户名错误还是密码错误。但是有些网站采用Ajax技术之后，虽是给用户带来便捷为目的，却犯了这样的错误。据笔者经过一系列的测试发现，国内很多门型网站的邮件系统都存在这样的漏洞， SOHU、网易、21CN等都犯了上述错误。我们就以Sohu为例，看看垃圾邮件制作者是如何利用其email帐户暴露漏洞，得到有效邮件地址列表的。

　　说到如何暴出邮件系统的email帐户，有些读者已经想到本文开头的例子“在注册用户时输入用户名后，自动显示该用户是否可以被注册”，说的就是这个例子。大家可以去sohu注册一个帐户：，输入用户名，光标移到“请输入密码”的输入框，如果这个用户存在，马上后面会提示：(图2)