文章总结： 文章分析了某小说阅读器存在的用户名/昵称注入漏洞，指出攻击者可利用该漏洞进行钓鱼攻击和发布不良信息，危害严重。修复方案包括白名单过滤、敏感词拦截、字符转义、前端校验及人工审核。文章已确认漏洞修复，呼吁用户勿恶意复现。 综合评分： 85 文章分类： 漏洞分析,安全意识,应用安全,漏洞预警,安全建设

用户名 / 昵称内容注入漏洞

原创

小帅安全 小帅安全

小帅安全

2026年4月15日 21:53 海南

在小说阅读器读本章

去阅读

免责声明

本公众号“小帅安全”旨在分享网络安全领域的相关知识，仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。本公众号中提供的所有内容都是基于作者的经验和知识，并仅代表作者个人的观点和意见。这些观点和意见仅供参考，不构成任何形式的承诺或保证。本公众号不对任何人因使用或依赖本公众号提供的信息、工具或技术所造成的任何损失或伤害负责。本公众号提供的技术和工具仅限于学习和研究之用，不得用于非法活动。任何非法活动均与本公众号的立场和政策相违背，并将依法承担法律责任。本公众号不对使用本公众号提供的工具和技术所造成的任何直接或间接损失负责。使用者必须自行承担使用风险，同时对自己的行为负全部责任。本公众号保留随时修改或补充免责声明的权利，而不需事先通知。

—-往期推荐—–

EDU实战之巧用Google Hacking语法接管全站用户

一次从证书站到证书站的通杀

EDU挖掘到的简单满分漏洞之Vue框架实战加资产收集语法

最近挖到的几个存储桶相关的edu实战案例分享

这次分享的是一个关于用户名可控的漏洞

没有对用户输入的姓名字段做过滤和限制，导致邮箱发送的内容可控。

危害

钓鱼攻击：

HTML注释或隐藏标签（如果支持HTML）

姓名修改为：吴斌

\r\n\r\n【系统通知】您的账户存在安全风险，请立即点击链接重置密码，xxx统一认证<!–

实际效果

可以看到xxx统一认证指向的是攻击者的恶意钓鱼网址，但是“您好：

您的邮件验证码为：824662；验证码有效期15分钟。”这样的内容已经被注释掉，并且发送人的邮箱是学校官方邮箱在实际中用户更容易相信并点击钓鱼链接。

发布不良信息

姓名处可控，攻击者精心制作内容，修改为yellow、暴力、zhengzhi、谣言等内容散布，会造成很大的社会影响。

例子，https://www.huangxxx.com网址代表yellow网址

姓名处输入：【同城xxx，xx姐妹x】加我微信138xxxxxxxx，邀请好友更得好礼，邀请好友更得好礼<!–

实际效果

像修改密码，注册用户、换绑手机号、忘记密码这些地方都是高发区。

修复方案（后端必做，前端为辅）

1. 白名单过滤（强推荐，优先用）

只允许中文、字母、数字、下划线，禁止特殊符号、空格

• 长度：2–10 字符（防止超长刷屏）
• 禁止：!@#$%^&*()_+-=[]{}|;':",./<>? 及空格、换行

2. 敏感词库拦截（必备）

• 自建或接入第三方词库（色情、暴力、辱骂、政治）；
• 后端全匹配 + 模糊匹配，匹配到直接拒绝注册 / 修改，返回 “昵称包含违规内容”；

3. 特殊字符转义 / 删除

• 入库前：移除 HTML/JS 标签（防 XSS）

4. 前端校验（仅挡小白，不能替代后端）

• 注册页加正则 + 敏感词实时校验，不符合直接禁用提交；
• 后端必须二次校验（前端可被绕过）。

5. 人工审核 + 日志（合规必备）

• 新注册 / 修改昵称先审后发（高危平台）；

文章中提及漏洞已提交漏洞平台并已修复，请勿恶意复现

获取更多工具和实战技巧

关注 小帅安全

如果文章对你有帮助，欢迎一键三连，点赞，关注加转发，后续我会更新更多优质文章。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小帅安全 小帅安全 小帅安全《用户名 / 昵称内容注入漏洞》