【曝光】网易邮箱服务器获取并访问用户邮件带token完整url

Phyton · 发表于 2025-7-14 04:08:12

如题，在测试自己程序的重发验证邮件功能，结果{"error":"User not found"}，表明该用户不在待验证的用户列表，于是去查数据库

发现注册成功后11s自动验证成功，于是去看nginx的log，发现是这个ip访问验证的220.197.30.23

一查发现是网易邮件服务器的ip

你搞内容审查我可以理解，但是你不脱敏处理，把用户带token的链接直接拿去访问，这还有用户隐私和数据安全可言吗？太恶心人了，这还是我自己有log可查到情况下发现的，日常使用我根本无法感知。从此网易一生黑，好感全无。

bobbylong · 发表于 2025-7-14 05:19:19

你没听说过网易云音乐吗，直接删除你手机里的音乐都可以，看看你邮件怎么了

hardwar · 发表于 2025-7-14 05:48:04

DBeaver好文明

hostlocal · 发表于 2025-7-14 07:43:53

bobbylong 发表于 2025-7-14 05:19
你没听说过网易云音乐吗，直接删除你手机里的音乐都可以，看看你邮件怎么了 ...

有这事？wc刚买了词典笔

zzr · 发表于 2025-7-14 08:39:03

这样也好，其实合理的验证是点开链接，登录验证。

bobbylong · 发表于 2025-7-14 09:16:18

hostlocal 发表于 2025-7-14 07:43
有这事？wc刚买了词典笔

好几年前的事情了，之后就一直用aimp

ezreal · 发表于 2025-7-14 09:53:47

你把链接发微信群里（只有自己小号），腾讯也会爬。

02h · 发表于 2025-7-14 12:43:28

cn都是这样，你二维码在群里发，也会被tx扫一下（v2ex论坛讨论过）

		自动登录	找回密码
密码			注册