https://blog.qife122.com/tags/%E7%94%A8%E6%88%B7%E8%BA%AB%E4%BB%BD%E7%AE%A1%E7%90%86/ Recent content in 用户身份管理 on 办公AI智能小助手 Hugo zh-cn qife Wed, 03 Dec 2025 03:40:41 +0800 https://blog.qife122.com/p/revive-adserver-%E7%94%A8%E6%88%B7%E5%90%8D%E7%A9%BA%E6%A0%BC%E6%AC%BA%E9%AA%97%E6%BC%8F%E6%B4%9E%E5%9F%BA%E4%BA%8E%E7%A9%BA%E6%A0%BC%E7%9A%84%E8%A7%86%E8%A7%89%E5%86%92%E5%85%85%E6%94%BB%E5%87%BB%E5%88%86%E6%9E%90/ Wed, 03 Dec 2025 03:40:41 +0800 https://blog.qife122.com/p/revive-adserver-%E7%94%A8%E6%88%B7%E5%90%8D%E7%A9%BA%E6%A0%BC%E6%AC%BA%E9%AA%97%E6%BC%8F%E6%B4%9E%E5%9F%BA%E4%BA%8E%E7%A9%BA%E6%A0%BC%E7%9A%84%E8%A7%86%E8%A7%89%E5%86%92%E5%85%85%E6%94%BB%E5%87%BB%E5%88%86%E6%9E%90/ <h1 id="revive-adserver-漏洞报告-3413764---用户名未规范化导致可创建视觉无法区分的账户基于空格的冒充攻击">Revive Adserver 漏洞报告 #3413764 - 用户名未规范化导致可创建视觉无法区分的账户（基于空格的冒充攻击）</h1> <p><strong>版本：</strong> revive-adserver 6.0.2</p> <p><strong>摘要：</strong> Revive Adserver 允许创建包含首部或尾部空格（例如 &ldquo;admin&rdquo; 或 &quot; admin&quot;）的用户名。其用户界面无法直观地区分此类用户名与正常的&quot;admin&quot;账户，导致出现视觉上完全相同的账户。这可以被用来冒充管理员、混淆操作人员并隐藏恶意活动。此问题主要是一个信息/用户体验漏洞，并不直接授予提升的权限，但会增加社会工程学攻击和审计/日志记录混淆的风险。</p>