【IT168 专稿】今天，电子邮箱（E-mail）无疑已经成为大众通讯的工具；由于垃圾邮件泛滥，E-mail也成为信息安全的重大隐患之一。搜索到有效邮件地址成为垃圾邮件发送成功与否的决定要素。随着Ajax新兴技术在大型网站，如SOHU等得到应用，使得垃圾邮件制造者有机可乘。

    现在浏览器端以 JavaScript 为核心，基于各种 Web 标准(即:早已完成标准化的XHTML/CSS/DOM/XML/XSLT 和正在进行标准化的XMLHTTP)的技术正在加速整合，Ajax 就是这一系列技术的一个统称。其关键在于对浏览器端的JavaScript、DHTML和与服务器异步通信的组合。使用Ajax，可以使B/S（浏览器/服务器）模式的程序出现类似于C/S（客户机和服务器结构）的即时动态cool效果，实现不刷新页面，动态改变页面数据。

    目前很多大型的网站已经大范围使用了Ajax技术，比如我们经常看到的：google搜索时出来的搜索次数以及可能搜索到的下拉列表、在注册用户时输入用户名后，自动显示该用户是否可以被注册等等。然而这项技术在给用户带来便利的同时，若是考虑不周也会给带来一定的安全隐患。

    我们知道在开发程序用户登陆模块，处理用户登录失败时，出于安全方面考虑，不能返回给用户具体的“密码错误”或“用户名错误”，而要说：“用户名或密码错误”。（如图1）
 

（图1）
 
    既然这样，当然就不能在其他地方给用户返回，具体是用户名错误还是密码错误。但是有些网站采用Ajax技术之后，虽是给用户带来便捷为目的，却犯了这样的错误。据笔者经过一系列的测试发现，国内很多门型网站的邮件系统都存在这样的漏洞， SOHU、网易、21CN等都犯了上述错误。我们就以Sohu为例，看看垃圾邮件制作者是如何利用其email帐户暴露漏洞，得到有效邮件地址列表的。

    说到如何暴出邮件系统的email帐户，有些读者已经想到本文开头的例子“在注册用户时输入用户名后，自动显示该用户是否可以被注册”，说的就是这个例子。大家可以去sohu注册一个帐户：http://passport.sohu.com/web/signup.jsp，输入用户名，光标移到“请输入密码”的输入框，如果这个用户存在，马上后面会提示：（图2）
 

     如果不存在，则提示：

（图3）