近日,美国联邦调查局证实黑客确实攻击了他们的服务器,并发送了数万封这些邮件的意思是:您的系统受到了Vinny'Troia(知名安全研究员)的攻击,请注意保护。很明显,黑客的意图是诋毁Vinny'Troia,一位在黑客社区中不受待见的安全研究员。经常有黑客侵入某些网站并陷害Vinny'Troia。据FBI称,软件配置错误允许黑客利用该漏洞发送虚假电子邮件。然而,在服务器被攻击后不久,就有人发现了问题。黑客之所以能够成功“攻破服务器”,主要是因为一次性密码暴露在FBI网站的html源代码中。这次攻击的源头来自FBI下属的LEEP网站。本网站的主要功能是提供一些资源,加强各机构之间的信息共享。近日,LEEP允许用户申请注册账号。美国司法部官网也提供了在LEEP上注册新账户的步骤和说明。第一步是要求用户使用IE浏览器进行注册,尽管微软不鼓励人们使用它。它。这些步骤一般告诉用户如何填写申请人及其组织的信息。关键步骤之一是申请者将从FBI邮件中收到一个一次性密码,以确认申请者可以收到邮件中的相关信息。信息。这是一次正常的操作,但FBI泄露了HTML代码中的一次性密码。黑客可以按F12打开开发者工具,直接在浏览器上编辑邮件的主题和正文内容,然后使用FBI邮箱地址向其他人发送邮件!当用户输入邮箱地址时,客户端会生成一个一次性的密码,然后通过POST请求发送给用户,其中包括邮件的标题和文本内容的参数。黑客只需要编写一个简单的脚本,替换标题和正文,就可以轻松地以FBI的名义向其他人发送虚假邮件……这样的低级错误也发生在密苏里州维护的网站上国家教育部。在此前的新闻中,《圣路易斯邮报》的记者在密苏里州的网站上使用F12查看源代码,无意中发现了一个会暴露教师和其他学校员工的社保号码。州法律严禁公布和披露社会安全号码。这个漏洞很奇怪。原本,用户只需输入社保号后四位即可查询对应的教师资格证信息。但是,输入成功后,用F12打开开发者工具,却可以看到完整的社保号。信息……更让人无语的是,在记者向州政府报告漏洞后,州长关闭了网站访问权限并召开新闻发布会,声称这是违法行为,将对记者进行起诉。在互联网早期,很多网站都使用明文密码。2011年CSDN、多玩、佳缘、秀秀的用户数据库在网上曝光。由于部分密码明文显示,存在大量用户账号密码。泄密风险,网民隐私数据随时可能被窃取。一转眼十年过去了,很少有人再使用明文密码了。FBI官网给用户的一次性密码,其实是客户端生成的,查看源码就知道了。美国官网接连出现低级错误,着实触目惊心。
