Linktree用户名验证绕过:前导空格引发的隐藏威胁
作者:Aditya Sunny
漏洞赏金猎人 | 安全研究员 | 道德黑客
📅 报告时间:2025年7月
🎯 目标:*.linktr.ee
🔍 摘要
在对Linktree用户系统进行安全测试时,我发现了一个输入验证绕过漏洞,允许注册带有前导空格的用户名。这个微小错误导致了严重的冒充攻击向量,可能引发网络钓鱼、身份欺骗和社会工程攻击——在移动设备上尤其有效。
🔓 漏洞概述
| 组件详情 | 说明 |
|---|---|
| 类型 | 输入验证绕过 |
| CWE编号 | CWE-20: 不当的输入验证 |
| 影响 | 账户欺骗、网络钓鱼、信任滥用 |
| 受影响URL | https://linktr.ee/admin/account |
| 利用方式 | 注册带有空格前缀的用户名 |
🎯 重要性说明
Linktree被以下群体广泛使用:
- 影响力人物
- 品牌方
- 公众人物
- 内容创作者
攻击者可以注册具有欺骗性的用户名,例如:
|
|
这与正常用户名几乎无法区分:
|
|
🔍 在移动设备或嵌入式预览中,这种差异几乎不可见。
🔥 实际风险
✅ 冒充公众人物
✅ 通过恶意Linktree页面进行网络钓鱼
✅ 声誉损害
✅ 基于链接的诈骗或恶意软件分发
🧪 概念验证(PoC)
✅ 复现步骤:
- 登录Linktree账户
- 转到:设置 → 更改用户名
- 尝试输入现有用户名(如tech_iela) 👉 错误提示:“用户名已被占用”
- 打开Burp Suite并拦截PATCH请求
- 修改请求体如下:
1{ "username": " tech_iela"} - 转发请求——服务器接受更改!
- 现在访问:
与正常链接对比:
1https://linktr.ee/%20tech_iela结果:大多数用户无法发现差异。1https://linktr.ee/tech_iela
📹 视频PoC:
🎥 观看地址 → https://drive.google.com/file/d/1Dr7EbNv32K7vSJsxItiiLvF5ZNxf62Vd/view?usp=sharing
🧬 技术分析
前端使用正则表达式验证用户名并阻止空格输入。 但后端未能对输入进行修剪或清理。 这导致了客户端-服务器验证不匹配,这是一个常见缺陷。
空格字符(%20)经过URL编码,在大多数浏览器中显示正常。
⚠ 甚至不可见字符如%09(制表符)、%0A(换行符)或U+200B(零宽度空格)都可以用类似方式测试。
🔐 安全建议
🔧 针对Linktree或类似平台:
- 在后端清理输入——修剪空格,移除不可见字符
- 在服务器端镜像前端验证
- 在比较或数据库查询前规范化用户名
- 禁止仅因空白字符而不同的用户名
- 审计历史用户名是否存在此类滥用行为
🗣 最终思考
安全不仅关乎复杂攻击——更在于在微小裂缝变成大门之前发现它们。
这个漏洞完美展示了低严重性问题如何升级为高影响力的社会工程攻击。
🚨 用户名中的单个空格可用于冒充、钓鱼和误导数千用户。
👨💻 关于研究员
Aditya Sunny
网络安全爱好者 | 道德黑客 | 前Navodayan
📍 曾向Meta、Dell、Canva、Tesla等公司报告漏洞
🏆 荣获Bajaj Finserv安全英雄荣誉
🕸 联系方式:
Twitter/X: @adityasunny06
GitHub: github.com/adityasunny06
LinkedIn: Aditya Sunny
✅ 欢迎转载、分享或翻译本报告。 如果你是开发者——请修复它。 如果你是黑客——请深入挖掘。 一个字符可以改变一切。
🔖 标签:#漏洞赏金 #Linktree #输入验证 #CWE20 #概念验证 #冒充攻击