安基网 首页 资讯 安全报 查看内容

美国邮政服务网站漏洞可暴露6000万用户数据

2018-11-23 05:12| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 美国邮政服务系统刚刚修复了一个严重的网站漏洞,该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。漏洞解构该漏洞源于USPS Web组件中的身份验证API,根据USPS的说法,基于该API构建的”通 ...

美国邮政服务系统刚刚修复了一个严重的网站漏洞,该漏洞使得拥有usps.com帐户的任何人都可查看和修改约6000万用户的账户详情。



漏洞解构

该漏洞源于USPS Web组件中的身份验证API,根据USPS的说法,基于该API构建的”通知可见“功能可为企业、广告商和其他批量邮件发件人提供几乎实时的数据跟踪和获取能力,以“做出更好的业务决策”。

该漏洞除了公开USPS商业客户发送的包裹和邮件实时数据外,还允许任何登录usps.com的用户向系统查询其他用户的帐户详情,例如电子邮件地址、用户名、ID、帐号、街道地址、电话号码、授权用户、邮寄活动数据和其他信息。

与API相关的功能均支持“通配符”搜索参数,也就是说它们可以返回给定数据集的所有记录,而无需搜索特定术语。除了需要了解如何查看和修改由Chrome或Firefox等常规Web浏览器处理的数据元素之外,无需特殊的黑客工具来提取这些数据。

USPS宣传册,宣传”通知可见服务“的优势和好处

如果多个帐户共享一个公共数据元素(例如街道地址),则使用该API进行搜索会显示多个记录,这样一来就可以对其他用户的信息进行查看、修改等操作。

影响

通过“通知可见”API获得对帐户相关数据库条目的修改能力,可能会给USPS的大客户带来问题,试想一下像Netflix这样的公司以及其他需要大批量发送邮件的客户,要是API允许任何用户将常规usps.com帐户转换为Informed Visibility业务帐户,中间损失的费用怎么算。此外,这也会给垃圾邮件发送者和电子邮件诈骗者提供可趁之机,很容易被用来构建大规模针对性垃圾邮件攻击或鱼叉式网络钓鱼。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6626553549608190467/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部