黑客教你3分钟盗微信号 一分钟盗微信号 ***

访客4年前关于黑客接单1262

美国邮政服务系统刚刚修复了一个严重的网站漏洞,该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。



美国邮政服务网站漏洞可暴露6000万用户数据


漏洞解构

该漏洞源于USPS Web组件中的身份验证API,根据USPS的说法,基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力,以“做出更好的业务决策”。

该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外,还允许任何登录usps.com的用户向系统查询其他用户的帐户详情,例如电子邮件地址、用户名、ID、帐号、街道地址、 *** 号码、授权用户、邮寄活动数据和其他信息。

与API相关的功能均支持“通配符”搜索参数,也就是说它们可以返回给定数据集的所有记录,而无需搜索特定术语。除了需要了解如何查看和修改由Chrome或Firefox等常规Web浏览器处理的数据元素之外,无需特殊的黑客工具来提取这些数据。

美国邮政服务网站漏洞可暴露6000万用户数据
USPS宣传册,宣传”通知可见服务“的优势和好处

如果多个帐户共享一个公共数据元素(例如街道地址),则使用该API进行搜索会显示多个记录,这样一来就可以对其他用户的信息进行查看、修改等操作。

影响

通过“通知可见”API获得对帐户相关数据库条目的修改能力,可能会给USPS的大客户带来问题,试想一下像Netflix这样的公司以及其他需要大批量发送邮件的客户,要是API允许任何用户将常规usps.com帐户转换为Informed Visibility业务帐户,中间损失的费用怎么算。此外,这也会给垃圾邮件发送者和电子邮件诈骗者提供可趁之机,很容易被用来构建大规模针对性垃圾邮件攻击或鱼叉式 *** 钓鱼。

相关文章

黑客发现网站漏洞已经盗了15亿美元!

黑客发现网站漏洞已经盗了15亿美元!

MyEtherWallet 发推特说,他们的DNS 被污染,导致部分用户进入到了假的网站,从而导致ETH被盗。...

安卓 零日已达 250 万美元 为什么安卓比 iOS 攻击成本更高?

所谓 “零日漏洞” 的收购商为 Android 漏洞支付的费用比 iOS 还要高,直到最近这都是不可想象的。 零日漏洞收购商 Zerodium 现在为一个 Android 漏洞支付的费用高达 2...

教你用手机伪装黑客  让你成为白帽子黑客

教你用手机伪装黑客  让你成为白帽子黑客

相关说明 本章所讲述的所有黑客技术,均不得用于非法目的。 如果你觉得文章含有侵权部分,可以联系CSDN私聊,我会适当修改。 未经允许,不得转载,如需转载,请CSDN私聊。 前言 每当我们坐在...

Windows10漏洞太多腾讯360宣布暂停win10升级服务

Windows10漏洞太多腾讯360宣布暂停win10升级服务

DoNews 7月30日消息(记者 安宏)微软Win10发布一天以来问题不断。先是有英媒报道称,Windows 10开始菜单出现新漏洞,若用户下载多于512个应用快捷程序,程序或将缺失。此后,国内...

白帽黑客揭秘:封闭培训半年可年入十几二十万

培训班是军事化管理,平时的上课时间手机不准带进教学区,学员们只有在晚上回到宿舍,才可以给家里打个电话。 刘悦大学毕业后,放弃电力公司的工作,来到“女生当男生使”的特训班。半年下来,刘悦可以连做俯...