WooYun.org

1、问题出现在个人中心的邮件验证功能上：

http://i.baofeng.com/verify_email.html

我们拿用户tester123做测试。
首先看看tester123当前绑定的邮箱：

2、然后我们来看看设置验证邮箱的请求内容，抓了个包看看，这个包是xfkxfk123的设置验证邮箱时的请求包：

GET请求的啊
3、由于这里设置验证邮箱的功能存在CSRF，我们构造好url请求，让tester123访问看是否存在CSRF，构造的url如下：

user.baofeng.com/user/?a=sendCheckMail&email=827731626%40qq.com&callback=Security.setEmailResult

当tester123访问了如上url后，他的验证邮箱就会被更改，变成[email protected]。
当然，如果tester123没有绑定验证邮箱的话，这样也是一样的效果。
tester123访问了上面的构造的url：

我们设置的邮箱顺利收到了邮件：

邮件中同时出现了用户名，哈哈，这里的用户名留着大有用处啊
我们点击验证url，成功更改了tester123的验证邮箱。

邮箱已经成功更改了，下面开始重置密码之旅。
打开忘记密码连接

http://i.baofeng.com/forget_password.html

输入邮箱中收到的用户名，然后就直接发送邮件了，给力啊给力。

哈哈，顺利收到密码重置邮件了：

成功重置密码。
通过csrf更改了用户的邮箱，同时加上用户名也得到了，而重置密码只需要用户名，这样就很顺利的重置了用户密码。
所以我们把更改验证邮箱的链接发到论坛，诱使用户点击，就等着收邮件了！！！
第二天，功夫不负有心人，终于等到了邮件！