文章总结： 该文档分析了一种跨系统用户信息混淆漏洞，当站点A与站点B存在业务关联且共享用户身份信息时，攻击者可通过在A站使用B站已注册邮箱重复注册，从而非法获取B站用户的敏感个人信息和消费记录。漏洞成因包括邮箱唯一性验证缺失、缺乏验证机制等。文档提供了完整的测试流程：先在B站注册邮箱账号并生成数据，然后在A站触发跳转登录功能后使用同一邮箱注册，最后验证是否能访问B站数据。危害主要包括用户隐私泄露和数据隔离性破坏。 综合评分： 78 文章分类： 漏洞分析,WEB安全,应用安全,数据安全,渗透测试

跨系统用户信息混淆漏洞

原创

游山玩水 游山玩水

山水SRC

2026年5月6日 08:48 河南

在小说阅读器读本章

去阅读

免责声明

本公众号分享的所有渗透测试技术文章仅面向合法授权的安全测试、学习交流与研究用途。读者必须确保自身行为符合《网络安全法》等相关法律法规，严禁将其用于任何未授权攻击等非法活动。因不当使用或传播相关内容所引发的任何法律责任与风险，由行为人自行承担，本公众号（或本人）概不负责

测试流程

出现前提：

1. 站点A与站点B存在业务关联（例如同公司旗下或合作方），且A站提供跳转至B站使用邮箱登录的功能。
2. 站点A与站点B共享或能够通过某种方式（如邮箱）关联用户身份信息。
3. 站点A在用户使用邮箱M注册新账号时，未正确验证该邮箱在系统内的唯一性，或错误地将其与B站已存在的同一邮箱账户信息进行关联、绑定。
4. 邮箱注册流程缺乏有效的验证码或二次确认机制，降低了攻击门槛。

测试流程：

1. 在B站使用邮箱M注册一个新账号，并完成一些个人操作（如填写个人信息、购买商品等），生成用户数据。
2. 在A站找到并触发那个“重定向至B站以邮箱登录”的功能，观察其跳转和认证逻辑。
3. 直接在A站的注册页面，使用在B站注册过的同一个邮箱M进行注册。
4. 注册成功后，登录A站账号M，检查个人中心、订单历史等相关页面。
5. 验证是否能够查看到在B站使用账号M时所产生或存储的个人信息（如B站的购买记录、个人资料等）。

危害：

1. 隐私泄露：攻击者可以通过在A站注册，非法获取其他用户在B站的敏感个人信息和消费记录。
2. 数据安全：破坏了用户数据的隔离性原则，导致跨系统的未授权数据访问。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《跨系统用户信息混淆漏洞》