在微博上看到"网易 改变邮箱地址参数，就能查看任意 163 邮箱的未读邮件数和邮件总数！！"

163 准确，读取一封未读的邮件之后那个接口返回的数据还会变化，从此网易邮箱一生黑。

126 ，不准；
163 ，一开始不准，登录后再刷新就准了。

@glchaos
@saturnx
@v2what
把开头换成 http://msg.mail.126.com...

http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=@163.com 大家试试这个？
对么：
New Message:14 Totoal Message:1116

试了下自己的邮箱还真的是

试了一下自己的，不准。

这是一个 api 吧。。。缺少了 access_token 验证？

很奇怪，一个危害挺低的越权漏洞为什么就说 XX 药丸，而且这微博说的也是太夸大其词了。安全不应该是风声鹤唳，夸大其词。

这个接口其实访问量应该挺大的，虽然在各位看来是加上验证是理所应当的事情，但有没有想过带来的性能问题呢？（我记得之前新浪微博的在线实时查有多少条未读，私信，新粉丝等数据也是可以任意访问的，不知道现在是不是）

@saturnx
@glchaos
@Troevil
@pheyer
@v2what
@saturnx

126 也是准的， 楼主给的是 163 的链接， 后面只能跟 163 邮箱：
http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=test@163.com

126 邮箱是这个，我测试了非常准，我刚清空邮件过。
http://msg.mail.126.com/cgi/mc?funcid=getusrnewmsgcnt&username=test@126.com

@Cryse 确实可以， yeah.net 也一样准确。

@redkei 的确是的，都只想到改邮箱名😂

@zhchbin 有一个越权漏洞，说明就非常可能有若干个潜在的，甚至是非常重要的。

配合扫库，扫出有价值的账号来，然后破解，就发了。

@juneszh
还可以连续请求两次来验证邮箱的有效性

我想说好几年前就知道了。。。。包括 yeah 邮箱。。。。。

@zhizhuo 我的意思其实说的是：这个接口就是故意设置成这样子的。而你认为的是：这个接口是因为疏忽导致的。

有用!
用来看自己忘记密码的邮箱里有没有邮件...

(换成 admin, http://msg.mail.163.com/cgi/mc?funcid=getusrnewmsgcnt&username=admin@126.com, 也有数据.....这....

@zhchbin 看下 14 楼的，这种结合社工还是有危害的。不然按你这意思，干脆支付宝开放任意帐号金额查询，各大银行卡也开放任意卡号查询金额，反正查了又拿不走别人钱。

@crab 不要偷换概念啊。这个邮件未读数量的隐私程度并没有你银行卡里的金额重要。