文章总结： 本文分析了一个价值500美元的账户接管漏洞，核心问题在于SSO系统的账户合并机制缺陷。当攻击者用受害者邮箱注册未验证账户后，受害者通过Google登录会触发系统错误合并账户，并将未验证账户自动激活，导致攻击者能用原密码登录受害者账户。关键发现是身份验证逻辑漏洞允许未验证账户被第三方登录激活，建议加强邮箱验证机制和账户合并前的权限检查。 综合评分： 85 文章分类： 漏洞分析,WEB安全,实战经验,安全建设,应用安全

当 SSO 遇到未验证邮箱：价值 500 美元的账户接管攻击

原创

Pwn1 Pwn1

漏洞集萃

2026年4月30日 15:50 山东

在小说阅读器读本章

去阅读

免责声明 本公众号所发布的文章内容仅供学习与交流使用，禁止用于任何非法用途。

在测试一个私有漏洞赏金计划时，我遇到了一个

漏洞简介

这个漏洞的根本原因在于系统非常BUG的账户合并机制。

在正常的业务情况下，系统有两种登录方式：

1. 账号密码注册： 必须去邮箱点击验证链接，才能证明邮箱是你的。
2. 第三方（如Google）登录： 系统认为Google已经帮你验证过身份了，所以直接放行。

漏洞点在于： 当系统发现有人用Google登录了一个邮箱，而这个邮箱之前已经有人用“账号密码”注册过（但还没验证），那么这个时候系统就会把这两个账号绑在一起，而且还会直接把那个没验证的“账号密码”标记为已验证。

攻击场景还原

假设有三个角色：

受害者（小明）： 拥有真实邮箱 [email protected]。

攻击者（黑客）： 知道小明的邮箱，但没有小明邮箱的密码，更无法登陆其邮箱。

目标网站： 存在漏洞的应用程序。

第一步：黑客提前占坑

黑客来到目标网站，使用小明的邮箱 [email protected] 进行注册。

黑客设置了一个自己知道的密码（比如：Hacker123）。

此时，网站提示：“请去邮箱点击验证链接”。因为黑客无法登录小明的真实邮箱，所以他卡在了这一步，进不去控制面板。

第二步：受害者正常使用

随后的某一天，小明自己想用这个网站了。

小明嫌注册麻烦，直接点击了网站上的“使用 Google 账号快捷登录”。

Google 验证了小明的身份，告诉目标网站：“他是真的小明”，并且小明正常使用这个账号。

第三步：系统犯错

此时目标网站收到 Google 的确认后，发现数据库里已经有一个叫 [email protected] 的账号了（也就是黑客第一步建的那个未验证账号）。

目标网站心想：“既然现在 Google 证明了他就是小明，那我直接把之前那个账号激活吧！”

关键失误： 网站把黑客设置的密码 Hacker123 和小明刚刚授权的 Google 登录合并到了同一个账户里，并且标记为验证通过。

第四步：黑客长驱直入

黑客回到几天前卡住的那个“请验证邮箱”的网页。

因为系统已经把这个账户标记为“已验证”，网页直接跳转进了小明的控制面板！

现在，小明可以通过 Google 登录这个账户，而黑客随时可以通过输入 [email protected] 和密码 Hacker123 登录同一个账户。小明在里面做的任何事情，存的任何数据，黑客都能看得一清二楚。

来源:

https://medium.com/@tinopreter/500-oauth-account-fusion-pre-takeover-attack-477484aa3813

觉得本文内容对您有启发或帮助？ 点个关注➕，获取更多深度分析与前沿资讯！

👉 往期精选

一种利用 HTTP 重定向循环的新型 SSRF 技术

预接管账号：结合 OTP 校验分离与空格绕过注册内部管理员邮箱

从隐藏接口的 JWT 绕过到 AWS S3 任意文件覆盖

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漏洞集萃 Pwn1 Pwn1《当 SSO 遇到未验证邮箱：价值 500 美元的账户接管攻击》