故事是这样的。
很久没上谷歌邮箱了,想看下有没有远方的朋友发来问候.
听说“网易邮件大师”可以直收 gmail 邮件。引起了我的兴趣。
- 下载安装好 app 之后,发现不是直接填写 smtp+pop3 信息。
- 填写好 gmail 地址之后,点击下一步竟然打开了 google 的认证网页。
- 我怀疑网易反向代理了 gmail,如果能拿到这个地址就很刺激,以后就方便了。
于是:
- 电脑打开 Fidder,开 https 解密,自签了个证书。
- 手机设置代理到 Fidder
- 手机关掉 网易邮箱大师
- 重复登录 gmail 步骤
- 惊喜 发现竟然是个 http 代理,不是反向代理
- 我发现一些关键个人信息被发送到了网易 //好吧我承认网易的隐私条款我没看就点了同意
登录界面 点右下角 “隐私”
滑到最下面, 然后点左下角 Google
在 Google 上搜了下当前 IP,发现是 网易 HK 的服务器
继续探索
发现 一些个人信息,被 POST 到了网易服务器,包括 gmial 邮箱和手机 ID
这里发现了 网易的代理服务器地址、账号、密码、如下图
这个 proxy 的密码是通过 seed_base (其实就是当前的 unix 时间戳)计算出来的。
果断 打开 Chrome Proxy 插件,设置好地址,账号,密码
Google 秒开
gmail 秒开
这代理服务器只能访问 *.google.com *.gmail.com
如果你想用这个代理上其他不好的网站,别想了,无法访问。