事情的起因的设计密码找回功能时脑洞大开,限制找回链接只能打开一次。即便第一次打开时没有重置,第二次再打开也会显示“已经被使用”。
然后就有用户反映每次收到密码重置邮件后,立即打开重置链接,也会显示“已经被使用”。
检查了一下日志发现这些用户的重置链接在邮件发出后3-5秒内就被第三方的IP打开了,这些IP是183.60.*.*, 14.17.*.*
这种情况只发生在QQ邮箱用户中,但并不是所有QQ用户都有这种情况,比例大概是10%。
有兄弟们遇到这种情况吗?
1
virusdefender 2015-01-25 20:23:56 +08:00
是不是 qq 邮箱要扫描链接的安全性?
|
2
imn1 2015-01-25 20:29:13 +08:00
呵呵,间接证实QQ邮箱的“阅读”能力?
|
3
imn1 2015-01-25 20:31:18 +08:00
两个 ip 段都是广州的(广东电信),贵站服务器在广州么?
|
4
raincious 2015-01-25 20:31:25 +08:00 1
会。
原先写了个网站会发激活信给用户,用户点链接就能激活。给QQ用户发过之后,用户被QQ服务器激活了(IP地址是深圳,用户不在深圳)…… |
6
mgc 2015-01-25 20:38:26 +08:00 2
加一个二次确认吧,比如:输入您的邮箱/用户名以激活
|
7
dawnyesky 2015-01-25 20:38:34 +08:00 via Android
用SMTP发信也会被扫描么?
|
8
qiayue 2015-01-25 20:46:06 +08:00 1
微信扫描过的二维码,如果是网址的话,过段时间(不是扫描时)也会被腾讯服务器扫描
|
10
mcone 2015-01-25 21:16:07 +08:00 1
很可能会的 但是时间我不确定
我之前接触过一个类似于账户验证的功能,是让用户通过点一个链接,来确定/验证一些用户的行为;但是由于最初设计的不完备,链接在点击一次之后是不会失效的……然后就发现了总有人会点以前的链接,最初我们以为是用户无聊做测试,甚至是系统被有意的渗透了…… 直到后来发现,每次都是那么几个地点的ip段,时间也不是随机的……并且大部分链接发往的都是tx的…… 后来功能改了,我也不再接触这个了,不知道现在是什么样子。我还以为是我们系统遇到的问题呢(真没考虑过是tx官方)。 现在想想,当时应该做成一个小东西,可能会很好玩? |
11
guoyijun163 2015-01-25 21:34:43 +08:00 1
会,可能是安全检测预访问了链接……之前测试类似功能就被这个困扰过
|
12
ksc010 2015-01-25 21:53:37 +08:00
好几次遇到 在你的电脑上安装某些软件后
你会在服务器日志中发现 每个url都至少有2次访问 |
14
Slienc7 2015-01-25 22:18:53 +08:00
至少我通過QQ發送的URL是200%被爬的(2次以上)
|
16
kn007 2015-01-25 23:26:27 +08:00
这么囧。。
|
18
noea 2015-01-25 23:49:28 +08:00
会的。
因为spam的服务器会扫描邮件里面的超链接。 以前做群发的时候,因为防止被spam,在邮件里面写个隐藏连接来屏蔽spam的IP。 <a href="http://www.xxx.com/banip.php"></a> 明白了吧。 |
19
shakoon 2015-01-25 23:54:49 +08:00
我曾经在发给QQ邮箱的邮件、Qzone的博文中加入过自己的计数器,跟踪后经常能发现并非我的用户的深圳机房IP,所以我的猜测是腾讯会不定时的加载这些内容中的资源,或用于服务器缓存,或用于防病毒扫描。
|
20
ratazzi 2015-01-26 00:05:10 +08:00
会的,上次装 sentry 刚好开着日志,邮件刚发出去就看到访问日志了
|
21
juicy 2015-01-26 00:24:05 +08:00
那就是说我注册某网站时随便填一个qq号,那么那个账号很有可能会注册成功么。。。
|
22
thisnull 2015-01-26 00:28:18 +08:00
遇到同样的问题.今天刚注册了乐视云验证 打开就显示链接过期,
然后再发一次验证,还是同样的结果. |
23
cchange 2015-01-26 00:56:43 +08:00 via iPhone
让我想起来: 传说据说gmail会缓存邮件的图片? 是真的吗?
|
24
freewizard 2015-01-26 01:08:07 +08:00
@cchange 你说邮件内嵌的外链图片?GMail默认既不显示也不存;可以设置为显示,存不存取决于HTTP头。
|
25
skylooker 2015-01-26 01:32:02 +08:00
我通过微信给朋友发送我的博客地址,因为刚做好,肯定没有人知道。
结果我看http日志的时候,就发现有新ip访问,而且是和我朋友的访问时间相同,一秒都不差,user angent是微信的,系统版本是ios8.0.2。当时我就郁了,连续好几次都是这样。Ps:那个IP地址显示的是上海电信。 我估计就是腾讯搞的。 |
27
Zuckonit 2015-01-26 09:11:32 +08:00
明确的告诉你,会扫描这些url
|
28
cnkuner 2015-01-26 09:21:32 +08:00 via Android
楼主,阿里的免费邮局干这事吗,测试一下
|
30
onevcat 2016-04-15 10:59:00 +08:00
今天被这个问题坑了一道...刷新了对腾讯的认知下限...扫邮件,帮你点链接,都是很大的安全隐患啊..
|