漏洞挖掘 | 单点登录的网站通过Referer盗取用户授权

最近参加了一个赏金计划，然后在单点登录中发现了一个涉及比较多站点的漏洞，测试过程比较有意思，所以分享一下。基础解答：一般我们在挖洞的时候，很关键的就是要观察数据流，你可以选择用burp，当然也可以使用浏览器的F12(俗称浏览器F12大法)来观察数据流向。以下将用户中心登录站点称为passport.AAA.com，用户在登陆*.AAA.com的时候可以选择先登录passport.AAA.com，然后它会返回授权，接着用户就能登录*.AAA.com了。当然我一般都是先登录了，然后再去点击这个链接，接着默默观察浏览器都请求了啥玩意。你可以发现其中的一个请求长成下面这个样子：https://passport.AAA.com/sso/accounts/serviceLogin?continue=http://subdomain.AAA.com/SSOServerLogin&isiframe=1&service=service_id&location=687474703a2f2f737 ………………………………