漏洞总结:OpenAEV 密码重置 API 用户名/邮箱枚举漏洞 漏洞概述 OpenAEV 平台的密码重置 API 存在用户名/邮箱枚举漏洞。攻击者可以通过观察 HTTP 响应状态码的差异,判断目标邮箱是否已注册。 触发条件:向 接口发送请求。 差异表现: - 若邮箱不存在:返回 (Bad Request)。 - 若邮箱存在:返回 。 根本原因: 中的 函数对不同输入返回了不一致的状态码。 影响范围 受影响版本: 修复版本: 危害:攻击者可利用此漏洞构建有效用户列表,进而实施密码重置滥用、凭证填充或针对已确认账户的暴力破解。 修复方案 升级 OpenAEV 至版本 或更高版本。 代码层面应确保无论用户名是否存在,接口均返回一致的响应,以消除枚举可能。 POC 代码