魅族用户登录地址（没测试是appuri还是useruri参数导致跳转）：
https://member.meizu.com/login.jsp?appuri=RETURN_URL&useruri=RETURN_URL&service=uc
一样的RETURN_URL没有做域校验，可以返回到任意网站。
返回地址形式依然含有token，邪恶的我们可以获取中招用户的token登录用户中心，魅族的用户中心貌似还有个“我的账户”，里面有(￥_￥)啊
返回地址：http://RETURN_URL/login?passive=true&useruri=USERURI&token=TOKEN
利用的方式也很简单啦，跳转地址加个获取TOKEN的文件，获取后直接重新定向到魅族的网站入口。（token的认证入口不用我找了吧？）
直接进入用户中心...
漏洞证明：https://member.meizu.com/login.jsp?appuri=RETURN_URL&useruri=RETURN_URL&service=uc
 
RETURN_URL换成跳转的地址
修复方案：对跳转的地址进行域校验。
可以的话联系我啦！
 
摘自  Ambulong@乌云