在微博上看到"网易 改变邮箱地址参数，就能查看任意 163 邮箱的未读邮件数和邮件总数！"

网易，有态度。

已验证, 是真的.

继续补刀

微软系统那么多系统漏洞。

按照博主的说法，估计同行连一个人都招不到了。

还有什么一块爆出来

测试可行，网易

谁去乌云发个报告把事情闹大→_→

这个问题 13 年就有了好像。

你查了我的邮件总数，然后呢？其实你想知道，我可以自己数一下，然后告诉你，何必劳心劳力研究什么函数呢？

MLGBD 。。。

就知道个数量，然并卵

这个不是 13 年就已经有过了么…
当时也没人重视

说没用的真是程序员思维? 要是我做垃圾邮件, 这个邮件首先可以验证这个邮箱是否有效, 是否送达, 测试各种改变规则, 大大提高垃圾邮件的送达率 , 省成本提高质量

亲测可用。。。

为何我输入随便一个邮箱名都有结果返回。。有查询失败的结果吗？

随便一个地址都有返回值～

然并卵

重新发了份邮件试了，确实可以。同意 @juneszh 的说法。

你是想告诉我这是一个邮箱地址？

随便输入多长的邮箱都有未读和已读邮件?这不科学

已验证确有此事...邮箱里有 1 封未读，查看邮件后从 1 变为 0 了。

我擦，居然是真的。

验证了一下自己的 3 个猪场邮箱，确实 New Message 的数目在变

但是楼上们的超长邮箱怎么解释呢……

就一个邮件数字有什么用？

http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=*895*^[email protected]


这种邮箱难道也有人用

大家小心点吧

@XianZaiZhuCe 小伙，你还是太年轻啊。你以为就只开放了这一个函数吗？
很明显是网易后端为了某个蛋疼的目的而开放了这些接口，还不知道开放了些啥接口呢，只是我们目前只知道一个而已（不排除黑客已经知道了有哪些，只是扔给一个没什么大用的给普通人玩玩）。比如根据 email 获取个人信息，获取账户信息，获取密保，获取邮件列表等等。
网易， CNMB ！

我输入我的 126 邮箱，显示的数量和我在邮箱中看到的数量是不一样的，不知道邮箱是否有不能让人看的东西。然后我用这个找回了一个 163 同名邮箱- -|| 我都不记得我有这邮箱！

试了一下我自己的 163 邮箱，准！

@glchaos 蛤蛤，这个估计是网易故意搞的。随便输一个邮箱地址都能出现结果。
http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=qweoqqqqqq%E9%87%8C%E5%8D%A1%E5%A4%[email protected]

@lechenging 可能都是机器注册的

我怎么感觉不是很准呢

然并卵，任意地址都有回复

http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=te%E5%98%BB#￥%#%嘻 1231232 ……&*……&*嘻 [email protected] 感觉随机生成的，并不一定是真数据

我感觉像是三年前的数据，而不是现在实时的数据

New Message:1 Totoal Message:84 ，，，，，发了一个后就是 1 了，，，

。。。

亲测可用

试了三个邮箱， 163 的准， 126 和 yeah.net 的不准。

根据楼上的描述，我猜测事情的经过是这样的
13 年的时候爆了这个漏洞之后，上级命令程序员赶紧修复。
奈何接口太老(根据返回的数据非 json 等结构化数据推测的)，代码已经面目全非。所以程序员无奈之下只好让非法邮箱返回个随机结果。。。

已验证几个邮箱，结果并不准。

改密码改密保已经改到心累了，现在。。。

New Message:0 Totoal Message:1145

@v2what 正解， 163 是准的

能被利用获取个人信息的才算漏洞吧，这个只是个接口，只能得到两个数字，这也算的话那各大公司的类似接口多了去了

@skywatcher 这两个数字在特定情形下很有价值。

试了下自己的 163 ，准确无误

163 邮箱存在，返回正确结果。不存在此 163 ，随机返回。

我刚刚实验楼下，是真实有效的漏洞。

@juneszh +1

jsonp 接口
http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&fid=1&addSubFdrs=1&language=1&style=1&template=newmsgres_setcookie.htm&df=reg163&callback=fUnreadCountCall&[email protected]

fUnreadCountCall("5461","5608","[email protected]")

http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username= 值为空也可以返回

试了下，确实可以，网易药丸

@ggiiss

<script src="http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&fid=1&addSubFdrs=1&language=1&style=1&template=newmsgres_setcookie.htm&df=reg163&callback=alert(document.cookies);alert&[email protected]"></script>

这个漏洞两年前就有了，一直没修过……

只能确认邮件地址存在，然。。。

不想再评论网易了，就如我对中国男足的感受那样～

总数不准

163 准确，读取一封未读的邮件之后那个接口返回的数据还会变化，从此网易邮箱一生黑。

126 ，不准；
163 ，一开始不准，登录后再刷新就准了。

@glchaos
@saturnx
@v2what
把开头换成 http://msg.mail.126.com...

http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected] 大家试试这个？
对么：
New Message:14 Totoal Message:1116

试了下自己的邮箱还真的是

试了一下自己的，不准。

这是一个 api 吧。。。缺少了 access_token 验证？

很奇怪，一个危害挺低的越权漏洞为什么就说 XX 药丸，而且这微博说的也是太夸大其词了。安全不应该是风声鹤唳，夸大其词。

这个接口其实访问量应该挺大的，虽然在各位看来是加上验证是理所应当的事情，但有没有想过带来的性能问题呢？（我记得之前新浪微博的在线实时查有多少条未读，私信，新粉丝等数据也是可以任意访问的，不知道现在是不是）

@saturnx
@glchaos
@Troevil
@pheyer
@v2what
@saturnx

126 也是准的， 楼主给的是 163 的链接， 后面只能跟 163 邮箱：
http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected]

126 邮箱是这个，我测试了非常准，我刚清空邮件过。
http://msg.mail.126.com/cgi/mc?funcid=getusrnewmsgcnt&[email protected]

@Cryse 确实可以， yeah.net 也一样准确。

@redkei 的确是的，都只想到改邮箱名

@zhchbin 有一个越权漏洞，说明就非常可能有若干个潜在的，甚至是非常重要的。

配合扫库，扫出有价值的账号来，然后破解，就发了。

@juneszh
还可以连续请求两次来验证邮箱的有效性

我想说好几年前就知道了。。。。包括 yeah 邮箱。。。。。

@zhizhuo 我的意思其实说的是：这个接口就是故意设置成这样子的。而你认为的是：这个接口是因为疏忽导致的。

@zhchbin 看下 14 楼的，这种结合社工还是有危害的。不然按你这意思，干脆支付宝开放任意帐号金额查询，各大银行卡也开放任意卡号查询金额，反正查了又拿不走别人钱。

@crab 不要偷换概念啊。这个邮件未读数量的隐私程度并没有你银行卡里的金额重要。

竟然有这么多人认为这件事“然并卵”，大家已经习惯暴露隐私了么。首先不说这个接口返回的信息是不是敏感的、接口缺少鉴权是不是有意设计的，至少能说明网易对用户数据隐私的态度有问题。

而且这些数据，至少能让我知道我发给网易邮箱用户的邮件有没有被阅读。发个邮件阅读回执都要确认，更不要说暴露已读未读邮件的数量了吧。更何况定时监视这些数据甚至还能知道我阅读邮件的习惯，我实在想不出这些数据可以公开的理由。

至于还有人觉得是因为出于性能考虑而去掉鉴权，只能说呵呵。这一个接口是这样的，到底有没有更隐私的接口已经在暴露使用了，谁知道呢。

@zhchbin
隐私程度？谁判定？
对隐私归属人来说没有级别，只有本人公开和不公开两种

@flydog 那些说“然并卵”的都是网易派出的公关，难道看不出来吗。无视即可

不知道还有其他可用的 funcid 没？

估计类似的 api 还有很多。

8 小时，竟然还没封堵。。。。。。

有人说这是一个 碧油鸡，图样图森破，这是一个福优扯儿

@twor2 feature 读作福衣扯儿

@flydog 天朝版的“棱角门”！！！谁知道后面还有多少没被公开的漏洞？？
“我们看到的只是角落里的一只蟑螂，而看不到它背后的 20 多只蟑螂”，这句台词在这里验证了！
由于暴露在隐身大量外泄的环境里，他人都已麻木，作为一个好心提醒的人，反而被视为异类………………

@juneszh 看机会吗？ 朋友，我司狂找技术 geek

刚刚看了下已经修了 全返回 -1 了

@twor2 对啊，这是个 feature 啊， X-notifier 就是用这个来获取未读邮件的啊

一个不太严重的越权而已

@Troevil 还没有，我的还正确

年人是想搞大新啊.

微博消息数量也有

权限框架是怎么做的！

好像确实也没什么用