【网络安全】账户注册中存在的逻辑问题

未经许可，不得转载。

正文

我在访问某网站处理个人事务时，需要创建一个账户。注册流程要求填写邮箱地址和手机号码 —— 这在大多数网站中都属常规操作，对吧？然而，在我按照流程一步步操作的过程中，逐渐察觉出一些……异常之处。

该网站的注册流程相对简单：

• 用户输入邮箱地址与手机号码；

• 系统向这两个渠道发送一次性验证码（OTP）进行验证；

• 用户提交验证码以完成注册流程。

听上去似乎合情合理，但问题也正是在这“看似合理”的机制中浮现了出来。

Hacker 可以在注册时填写自己的邮箱地址，但输入 Victim 的手机号；系统会将相同的 OTP 分别发送到这两个渠道；Hacker 只需使用自己邮箱中接收到的 OTP，即可绕过手机号验证 —— 尽管手机号并不属于他本人。

同理，反向操作亦可行：Hacker 填写 Victim 的邮箱与自己的手机号，再使用自己手机收