文章总结： 本文详细剖析了Web应用注册模块中的逻辑漏洞，将其划分为身份缺陷、验证码机制和账号接管三大类，并列举了任意用户注册、越权注册VIP账号、验证码绕过、账号覆盖等30余种具体漏洞的原理、危害及测试方法，同时提供了相应的防护建议，旨在帮助安全人员全面识别和防范注册环节的安全风险。 综合评分： 85 文章分类： Web安全,漏洞分析,实战经验,安全开发,应用安全

---

逻辑漏洞之注册模块

原创

一个努力的学渣 一个努力的学渣

一个努力的学渣

2026年6月24日 15:22 北京

在小说阅读器读本章

去阅读

免责声明

本文只做学术研究使用，不可对真实未授权网站使用，如若非法他用，与平台和本文作者无关，需自行负责！

前言

在Web应用中，注册功能是用户进入系统的第一道入口（在无法获取正确的用户名/密码的情况下）

在注册模块中，大致分为以下几类

• 身份缺陷类

• 只校验：用户名校验、手机号校验、验证码校验、数据入库

• 任意用户注册

• 越权注册VIP账号

• 邀请码绕过注册

• 邀请码爆破

• 企业认证注册绕过

• 枚举漏洞

• 批量注册漏洞

• 默认密码漏洞

• 注册流程越级访问

• 验证码类

• 在注册模块中，验证码机制本质上承担着两个职责：

• 证明操作者是真实用户

• 证明用户拥有手机号或邮箱的控制权

• 开发者认为：发送验证码–>输入验证码–>之后就注册成功，完成验证

• 验证码为空绕过

• 万能验证码

• 验证码复用

• 验证码永不过期

• 验证码可预测

• 验证码暴力破解

• 验证码与手机号未绑定

• 验证码与Session未绑定

• 短信轰炸

• 邮件轰炸

• 账号接管

• 注册接口信息泄露

• 注册覆盖漏洞

• 手机号覆盖漏洞

• 邮箱覆盖漏洞

• 第三方账号覆盖漏洞

• OAuth注册缺陷

• 微信注册绑定缺陷

• QQ注册绑定缺陷

• Google登录绑定缺陷

• 注册后直接接管账号

• 账户合并逻辑漏洞

所谓逻辑漏洞，几乎都大差不差，你挖不到，大致是以下原因：

• 思维固化：也就是太死板，多看别人的挖洞思路，学会举一反三
• 不够细心、没有耐心：很多漏洞点都藏在数据包或其他URL中，你只知道看这个功能的数据包，或者看到这么多数据包就不想看了，没有耐心
• 不会关联：有的漏洞点是需要与其他URL或者其他返回内容关联的，而你不会找这个关联关系
• 可能需要偶然找JS文件、隐藏文件：这个大部分人不会去找，认为逻辑漏洞就是逻辑漏洞，跟JS等没有任何关系，其实这种说法是不对的
• 当然，想要挖到更高深更隐蔽的漏洞，可能得学会分析JS文件，毕竟有些东西是隐藏在JS中的，而有的JS是加密的，需要解密

任意用户注册

风险等级：高危

漏洞原理

系统设计时存在多种用户身份：

• 普通用户
• 企业用户
• 代理商
• 商家
• 内部员工
• 管理员

前端注册页面通常只开发普通用户注册，但服务端未校验用户身份字段，导致攻击者可自行构造特殊身份完成注册

常见场景

例如注册页面仅显示：用户名、手机号、密码、验证码

但是提交请求时存在隐藏参数：userType=user

攻击者修改为userType=merchant  或者 userType=staff

即可注册特殊身份账号

造成的影响

可能导致：

• 获取商家后台权限
• 获取企业账户权限
• 获取代理商权限
• 获取管理后台权限

测试思路

检查注册请求参数：

• role
• type
• group
• level
• userType
• memberType

观察是否能够修改

防护方案

服务端必须强制指定用户身份

例如：所有注册用户默认赋值普通用户，禁止从客户端接收身份参数

越权注册VIP账号

风险等级：高危

漏洞原理

系统采用等级制度：普通会员、黄金会员、钻石会员、VIP会员

等级应由后台审核或付费开通，但服务端直接信任前端提交的数据

典型表现

注册时存在：vipLevel=0

攻击者修改：vipLevel=999

注册后直接成为高级会员

影响

可能获得：

• 免费课程
• 高级资源下载权限
• 会员专属功能
• VIP价格体系

防护建议

用户等级必须由后台逻辑生成，禁止客户端参与权限赋值

邀请码绕过注册

风险等级：中危

漏洞原理

很多平台采用邀请码制度：获得邀请码才能注册

但开发人员仅在前端验证邀请码，服务端未进行校验

常见情况

前端：输入邀请码

抓包删除邀请码参数后（置空）：inviteCode=

仍可注册成功

影响

可能导致：

• 封闭社区失效
• 内测系统被大量注册
• 活动资格被绕过

测试思路

• 删除邀请码：inviteCode=
• 修改邀请码：inviteCode=123456
• 随机邀请码：inviteCode=245316

之后观察注册结果

防护建议

邀请码校验必须在服务端完成

邀请码爆破

风险等级：中危

漏洞原理

邀请码生成规则简单：纯数字并且只有6位

常见案例

邀请码长度：6位数字

理论空间：1000000

如果没有频率限制，极易被遍历

影响

获得：

• 注册资格
• 要求奖励
• 内测资格

防护建议

邀请码应采用：随机字符串

并增加：频率限制、验证码机制、风控检测

企业认证注册绕过

风险等级：高危

漏洞原理

系统要求：营业执照、企业资质、法人信息

审核后成为企业账户，但服务端未验证上传资料

典型情况

上传 空文件 或者 1字节文件，即可通过审核

造成影响

攻击者可获得

• 企业采购权限
• 企业管理后台
• 发票功能
• 商户功能

防护建议

审核逻辑必须在后台完成，不能依赖前端状态

枚举漏洞

风险等级：中危

漏洞原理

在注册账号的时候，可根据用户名/手机号/邮箱去注册账号

而注册接口/页面通常会校验：用户名/手机号/邮箱是否存在

而我们可以根据返回不同的提示信息来确认用户名/手机号/邮箱是否注册

例如：

• 存在账号：用户名/手机号/邮箱已注册
• 不存在账号：注册成功

攻击者可根据提示来判断用户是否存在

攻击价值

攻击者可批量验证：手机号、邮箱、用户名，是否真实存在

影响

可能导致：

• 企业员工、管理员、VIP账号泄露，为后续攻击提供目标
• 用户信息泄露
• 精准撞库
• 精准钓鱼
• CEO、财务、HR邮箱泄露

防护建议

• 统一返回：请求以受理，避免暴露用户状态

批量注册漏洞

风险等级：高危

漏洞原理

系统缺少：

• IP限制
• 设备限制
• 风控模型

攻击者可创建海量账号

常见用途

用于

• 刷单
• 刷票
• 刷活动
• 刷积分
• 刷优惠券

典型案例

很多电商新人礼包：注册即送20元

攻击者批量注册1000个账号，直接套利

防护建议

建立：IP风控、设备指纹、行为分析、人机验证

默认密码漏洞

风险等级：高危

漏洞原理

某些系统支持注册后自动设置默认密码，如设置123456、888888、手机号后六位

风险

攻击者注册后无需修改密码，大量账号存在弱口令

注册流程越级访问

风险等级：中危

漏洞原理

多步骤注册：第一步、第二步、第三步

问题

跳过第二步，直接访问第三步，即可完成注册

验证码为空绕过

风险等级：高危

漏洞原理

开发人员只判断验证码参数是否存在，而未验证实际内容

常见现象

正常提交：phone=138xxxx8888&code=123456

修改为：phone=138xxxx8888&code=

仍可注册成功

影响

攻击者无需获取验证码即可注册任意手机号

测试思路

• code=
• code=null
• code=undefined

观察系统响应

防护建议

服务端必须验证：验证码是否存在、验证码是否正确、验证码是否过期

万能验证码漏洞

风险等级：严重

漏洞原理

开发测试阶段遗留调试代码，上线后未删除

常见万能验证码

• 0000
• 1234
• 6666
• 8888
• 9999

影响

绕过所有短信验证

实战案例

很多SRC中发现测试环境验证码被带入生产环境，最终导致任意账号注册

防护建议

上线前进行代码审计

禁止：万能验证码、后门验证逻辑、测试账号进入生产环境

验证码重复使用

风险等级：高危

漏洞原理

验证码验证成功后未销毁，导致同一验证码可无限使用

正常流程

发送验证码–>验证成功–>立即失效

漏洞流程

发送验证码–>123456–>注册成功–>再次使用123456–>继续成功

影响

攻击者仅需获取一次验证码，即可批量创建账号

测试方法

注册成功后再次使用同一验证码，观察是否继续有效

防护建议

验证码验证成功后：立即删除、立即失效

验证码永不过期

风险等级：中危

漏洞原理

开发人员未实现过期机制，或者只在前端倒计时

常见现象

正常应该：5分钟失效

实际：30分钟有效、1小时有效、24小时有效，甚至永久有效

影响

验证码泄露后长期可利用

测试方法

等待：10分钟、30分钟、1小时，再次尝试验证

防护建议

验证码建议：5分钟失效

敏感业务建议：1分钟失效

验证码可预测

风险等级：高危

漏洞原理

验证码生成算法弱

错误设计

• 根据当前时间后六位
• 根据手机号后六位生成
• 简单数字四位或六位

影响

攻击者无需接收短信即可推测验证码

测试思路

连续申请多个多个验证码

观察：递增、递减、规律变化

防护建议

采用安全随机数生成器

验证码暴力破解

风险等级：严重

漏洞原理

验证码验证接口无限尝试

正常情况

输入错误多少次（如5次），应锁定

漏洞情况

可无限提交

影响

六位验证码理论空间：1000000，若无限尝试，最终必然成功

防护建议

增加：失败次数限制、IP限制、设备限制、账号锁定

验证码与手机号未绑定

风险等级：严重

漏洞原理

系统仅验证验证码正确，未验证对应手机号

示例

手机A收到：123456

注册时修改：手机号B，验证码为123456

仍注册成功

影响

任意手机号注册

测试方法

准备：手机号A、手机号B

获取A验证码，注册B账号，观察结果

防护建议

验证码必须绑定：手机号、设备、会话

验证码与Session未绑定

风险等级：高危

漏洞原理

验证码验证仅验证数值，不验证请求来源

漏洞流程

用户A：获取验证码

攻击者：直接使用该验证码，注册成功

简单的说：就是A浏览器获取验证码，然后B浏览器直接使用该验证码

防护建议

验证码应绑定：Session、Token、设备ID

短信轰炸漏洞

风险等级：中危

漏洞原理

发送短信接口无限调用

常见场景

接口：/sendCode

无任何限制

攻击效果

攻击者循环调用1000次，受害者收到1000条短信

影响

可能导致：

• 用户骚扰、短信费用损失、服务商封禁

防护建议

增加：60秒发送一次、IP限流、设备限流、手机号限流

邮件轰炸漏洞

风险等级：中危

漏洞原理

发送邮件接口无限调用

常见场景

接口：/sendMail

无限调用

影响

邮箱收到数百封、数千封 验证邮件

防护建议

增加：频率限制、验证码、风控

注册接口信息泄露

风险等级：高危

漏洞原理

注册成功后返回过多敏感数据

进一步利用：敏感数据可修改，修改之后成功接管其他用户

风险

敏感数据泄露–>修改敏感数据–>接管其他账号

注册覆盖漏洞

风险等级：严重

漏洞原理

系统注册逻辑设计为：检查账号是否存在–>不存在则创建

但由于逻辑缺陷或并发问题，导致：已存在账号–>再次注册–>覆盖原账号信息

漏洞表现

攻击者注册：username=admin，系统返回注册成功，原账号密码被重置（前提是有一个相同的账号）

影响

可能导致：

• 密码覆盖
• 邮箱覆盖
• 手机号覆盖
• 账号接管

防护建议

数据库必须建议唯一索引

服务端必须验证账号是否已存在

手机号覆盖漏洞

风险等级：严重

漏洞原理

系统允许修改手机号，但未校验手机号归属

常见流程

用户A(已存在账号)：138xxxx0001

攻击者注册时提交：138xxxx0001

系统错误更新绑定关系

影响

攻击者可能获得：短信验证码、密码找回权限、账号控制权

测试思路

观察接口参数：mobile、phone、telephone，尝试修改

邮箱覆盖漏洞

风险等级：严重

漏洞原理

与手机号覆盖类似，系统未验证邮箱唯一性

常见场景

注册请求：[email protected]

服务端直接更新

影响

攻击者可接收：找回邮件、验证邮件、通知邮件

防护建议

邮箱必须唯一绑定，且重新绑定时必须二次验证

用户名抢注漏洞

风险等级：高危

漏洞原理

系统未对关键账号进行保护

常见账号

• admin
• administrator
• root
• system
• 客服
• 官方
• 管理员

风险

攻击者抢注后可能：

• 冒充官方
• 发布诈骗信息
• 诱导用户转账

防护建议

建立保留用户名库

第三方账号覆盖漏洞

风险等级：严重

漏洞原理

系统支持：

• 微信登录
• QQ登录
• Google登录
• Github登录

但绑定逻辑存在缺陷

正常流程

第三方身份验证–>创建绑定关系–>登录成功

漏洞流程

攻击者修改：openid、unionid、uid，绑定到他人账号

影响

直接接管用户账号

OAuth State校验缺失

风险等级：高危

漏洞原理

OAuth协议要求：state，参数防止CSRF攻击

正常流程

生成state–>跳转授权–>校验state

漏洞流程

开发人员未验证state

影响

攻击者可诱导用户绑定攻击者账号

防护建议

严格验证state参数

OAuth账户绑定缺陷

风险等级：严重

漏洞原理

系统使用邮箱、手机号作为绑定依据

漏洞场景

前提：拿到受害者邮箱

攻击者控制：[email protected]

第三方账号返回：[email protected]

系统直接绑定已有账户

影响

账号接管

防护建议

首次绑定必须进行二次身份验证

注册后自动登录漏洞

风险等级：严重

漏洞原理

很多网站，注册成功后自动登录

常见缺陷

服务端信任userID 参数

漏洞表现

攻击者修改：userID=1001

如果自动登录了他人账号，代表存在漏洞

Token返回逻辑缺陷

风险等级：高危

漏洞原理

注册成功返回token

常见问题

Token生成逻辑可预测，例如：md5(userid)

影响

攻击者可伪造身份

防护建议

采用：JWT+随机签名，或者高强度随机Token

注册竞争条件漏洞

风险等级：高危

漏洞原理

多个请求同时提交，系统未加锁

正常逻辑

检查用户是否存在–>创建账号

并发情况

请求A：用户不存在

请求B：用户不存在

两个请求同时创建

结果

可能出现：

• 重复账号
• 奖励重复领取
• 账号覆盖

案例

• 新人礼包领取两次
• 优惠券领取多次
• 注册奖励翻倍

这些均属于竞争条件漏洞

账户合并逻辑漏洞

风险等级：严重

漏洞原理

系统支持：手机号登录、邮箱登录、微信登录、QQ登录

多个身份绑定同一账号

漏洞场景

攻击者注册手机号A

然后绑定邮箱B，如果存在漏洞，系统会错误关联到受害者账户

影响

直接接管账号

未激活账户直接可用

风险等级：中危

漏洞原理

系统设计：注册–>激活–>使用

实际情况

攻击者注册成功无需激活，即可登录、发帖、支付、操作后台

防护建议

所有业务操作前验证账号状态

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：一个努力的学渣 一个努力的学渣 一个努力的学渣《逻辑漏洞之注册模块》