记双十一捡漏两个中危漏洞

漏洞一：某厂商OAuth2.0绑定劫持

个人中心选择绑定微信号，并扫码绑定微信，并抓包获取带有code的数据包：

保留该数据包后，丢弃原数据包，该数据包为GET型数据包，直接复制URL：https://xxx.com?code=xxxxx 丢给受害者访问。

受害者访问链接即成功绑定我的微信，通过微信登录可接管受害者账号。

漏洞二：某厂商邮件伪造

核心在于获取邀请模版时会将主账号用户名添加到邮件内容中，用户名可控，并且在邮件中可解析HTML代码。

当前有效验用户名不能添加特殊字符，经过判断只是前端效验，首先输入正常用户名保存时抓包修改为HTML代码即可。

修改成功后获取邀请模版，查看邮件内容。

成功插入img标签到邮件中，主账号邮箱可任意更改无需邮箱二次验证，即可给任意用户发送伪造后的官方邮件。