机构名称:
¥ 1.0
在2018年11月,克雷布森安全性打破了美国邮政服务(USPS)网站揭露6000万用户的数据的故事。一个名为“知情可见性”的USPSPROGRAM为经过身份验证的用户提供了API,因此消费者可以拥有有关所有邮件的接近实时数据。唯一的问题是,任何具有访问API的USPS验证用户都可以查询任何USPS帐户详细信息。为了使情况变得更糟,API接受了通配符的查询。这意味着攻击者可以通过使用这样的查询来轻松地向每个Gmail用户请求用户数据:/api/v1/find [?] email =*@gmail [。] com。
增强API安全:策略,挑战和最佳实践
主要关键词
相关文件推荐
