简要描述：中关村在线用户注册邮件验证时存在严重的逻辑缺陷，导致邮件验证失效

详细说明：中关村在线用户注册时，需要向注册用户邮箱发送含有加密字符串的激活链接进行激活，如http://service.zol.com.cn/user/register_email_ok.php?uid=***&email=**@123.com&code=9c7aef28a6e7742cb1157a4d2f0b7375, 但加密字符串在”重新发送邮件“功能处泄露，如图:

导致可以猜到code处的 参数，直接拼接url http://service.zol.com.cn/user/register_email_ok.php?uid=***&email=***@123.com&code=5addd7dec4e1a4df6c0efc6441e5c41c 进行激活。

邮件验证形同虚设，导致恶意灌水注册。

漏洞证明：注册新用户，邮箱随便填写，提交。

点击查看 源代码，找”再次发送注册邮件链接“取出code参数，拼接链接(uid为注册名称)http://service.zol.com.cn/user/register_email_ok.php?uid=***&email=***@123.com&code=5addd7dec4e1a4df6c0efc6441e5c41c 并访问，提示激活成功。

修复方案：修改激活链接和 重新发送链接 以及 更换邮箱链接里的code参数一致的缺陷

作者 路人甲@乌云