Googleアカウントのメールアドレスは、Googleの提供する各種サービスで共通して用いるメールアドレスで利用場面は多いものです。ウェブ開発者のトム・アンソニーさんが、Googleがリダイレクト用に添付するパラメータを利用して、ページにアクセスしたユーザーのGoogleアカウント用メールアドレスを特定できる手法をブログで公開しています。 How to confirm a Google user's specific email address (Bug Bounty Submission) - Tom Anthony http://www.tomanthony.co.uk/blog/confirm-google-users-email/ Googleのログインページでは、ログインしたあとにトップページではなく元のページが表示されるようリダイレクトするためにURLに「continue」パラメーターを渡すことがよくあります。当然、すでにGoogleアカウントにログイン済みのユーザーの場合には、continueパラメーター内の特定URLに直接リダイレクト処理されることになります。

・関連記事

名前やメールアドレス・住所などを自動的に入力してくれる「オートフィル機能」を使うと個人情報がこっそり盗まれる危険性あり - GIGAZINE



「送信」ボタンを押す前に内容を取得している悪質な入力フォームが発見される - GIGAZINE



マクドナルドユーザーのパスワードを盗み出すことが可能 - GIGAZINE



Googleが個人情報を盗み出す悪質な200のChromeアドオンを削除 - GIGAZINE



銀行口座情報を盗むマルウェア「Tinba」をマクロ実行なしで感染させる新手のPowerPoint添付ファイル攻撃が発見される - GIGAZINE

2017年08月10日 17時00分00秒 in ネットサービス, セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.