Question

反馈iPortal存在安全漏洞，在未登录状态下，通过构造特定URL（如：ip:8190/iportal/web/users/registered.json?username=test 的方式）可以枚举出系统中已存在的用户名。

Answer 1

【问题原因】开启注册账户功能后，匿名用户在注册账户的时候就会调用该接口遍历确保不会出现同名用户 【解决办法】iportal.xml中找到true的 true改成false即可