Estoy totalmente deacuerdo con Google, esto no es ninguna "vulneravilidad", si no, es un servicio.
Recordemos que en la pagina de registro de gmail, al escribir un nuevo correo, inmediatamente se dispara una peticion ajax informando si el correo esta en uso o no, asi que podemos hacer lo mismo
Código: bash
En donde el valor "pepelucho" es el nombre de correo que se esta consultando su disponibilidad (no es necesario escribir No tienes permitido ver enlaces. Registrate o Entra a tu cuenta)
Y Google responde de la siguiente forma si no esta disponible:
Código: bash
Y si el correo no existe (esta disponible) entonces devuelve:
Código: bash
Como dije lineas arriba, esto no es ninguna vulnerabilidad, es solo un servicio que siempre estuvo disponible
Recordemos que en la pagina de registro de gmail, al escribir un nuevo correo, inmediatamente se dispara una peticion ajax informando si el correo esta en uso o no, asi que podemos hacer lo mismo
curl -X POST -H "Accept: Application/json" -H "Content-Type: application/json" -d '{"input01":{"Input":"GmailAddress","GmailAddress":"pepelucho","FirstName":"","LastName":""},"Locale":"es"}' https://accounts.google.com/InputValidator?resource=SignUp&service=mailEn donde el valor "pepelucho" es el nombre de correo que se esta consultando su disponibilidad (no es necesario escribir No tienes permitido ver enlaces. Registrate o Entra a tu cuenta)
Y Google responde de la siguiente forma si no esta disponible:
{"input01":{"Valid":"false","ErrorMessage":"Ese nombre de usuario ya está en uso. Prueba con otro.","Errors":{"GmailAddress":"Ese nombre de usuario ya está en uso. Prueba con otro."},"ErrorData":[]},"Locale":"es"}Y si el correo no existe (esta disponible) entonces devuelve:
{"input01":{"Valid":"true","ErrorData":[]},"Locale":"es"}Como dije lineas arriba, esto no es ninguna vulnerabilidad, es solo un servicio que siempre estuvo disponible
