一:漏洞详情
在用户忘记密码出通过输入注册的号码和未注册号码会返回不同的响应包,同时返回的pid和selectid可以在另一个包中利用,造成账号信息的泄露
二:漏洞证明
注册手机号返回的信息
未注册手机号返回的信息
注册手机号的pid和selectid可以在这个包中利用
造成一定的信息泄露
三:修复方案
注意包中返回的内容
管理员 在2021-03-12 10:35:35说: 您好,经确认,该处问题确实真实存在,结合实际业务也能造成一定的危害,我们已在处理中,非常感谢您对唯品会信息安全工作的支持和理解。祝您生活愉快!
留言不能为空
验证码不能为空
![[OWBSF}_YDCCYCI23VF]CD5.png](./用户注册电话枚举加信息泄露_files/8cc34af7b4d2485.png "1615467417626876.png")
![QOG3Y4CR]225_28)G`HW0Y2.png](./用户注册电话枚举加信息泄露_files/31c4f022695eba1.png "1615467539258259.png")
管理员 在2021-03-12 10:35:35说: 您好,经确认,该处问题确实真实存在,结合实际业务也能造成一定的危害,我们已在处理中,非常感谢您对唯品会信息安全工作的支持和理解。祝您生活愉快!