文章总结： 在一次授权测试中，作者通过互换不同端口的登录API发现了一个意外的账号信息泄露漏洞。其中一个API在请求时会返回账号是否存在以及账号密码的敏感信息，导致超级管理员账号信息被轻易获取。这表明API响应应进行严格过滤，避免敏感信息泄露，同时提醒开发人员注意接口设计的规范性。 综合评分： 78 文章分类： 渗透测试,漏洞分析,WEB安全,实战经验

意想不到的账号信息泄露

原创

pippybear

安全无界

2025年12月15日 23:20 上海

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

这是挺久之前的一次授权测试了，回看还是觉得这个漏洞挺有意思的，有时候都在想这似乎是开发老哥给自己留的小后门（玩笑玩笑），不多说，直接开始正文吧。

目标还是一如既往的登录系统，一顿操作下来啥收获也没有。

曾经猛的一批的撞库攻击和API未授权访问都没有收获。

走测绘平台看了一下，这个资产在其他端口还有服务，emmmm，小瞅一下。同样是登录系统，但似乎看起来登录接口不太一样，先不管，一通测试，结果还是颗粒无收。

先记录一下这个登录API，后面它就是关键的MVP，这有点难整呀，2边都没有啥收获。

正在我一筹莫展，准备放弃的时候，闲着没事，想看看2边登录API是否可以互通使用一下，emmm，就是这么一个奇妙地想法，给我带了个意想不到的收获。

这响应的似乎有点不太一样，通过多次比对尝试发现，这响应的2个参数分别是判断账号是否存在的true or false和账号的密码。好家伙，这是怎么能想到这么操作的呀，直接登录超级管理员账号。

不得不说，漏洞意不意外还是得看开发老哥操作骚不骚呀。

查看原文：《意想不到的账号信息泄露》