メールtut.byの穴

ベラルーシのポータルTUT.byの郵便サービスでは、手紙をスパムとしてマークする際のユーザー認証のチェックはありません。 その結果、攻撃者は、INBOXフォルダーからごみ箱フォルダーにすべての文字を送信することにより、ユーザーを困惑させることができます。



ブラウザにこのリンクを入力した場合 mail.tut.by/cgi-bin/go.cgi?address=X&folder=INBOX&server=mail.tut.by&messages=Y



mail.tut.by/cgi-bin/go.cgi?address=X&folder=INBOX&server=mail.tut.by&messages=Y



はユーザー名、 Yは文字番号、対応する文字はゴミ箱に移動されます。



Yの値は、特定の文字番号またはカンマで区切られた複数の文字数に等しくすることができます。