未经许可，不得转载。

前言

redacted.com是一个管理物联网项目、云解决方案、设备等的平台，其允许在一个用户账户下创建多个账户，并在知道其它用户电子邮件地址的情况下邀请他们加入项目。该网站支持灵活的账户注册，但每次注册都要求输入发送到企业电子邮件的一次性密码（OTP）进行验证。

漏洞1：创建属于其他用户的账户

在个人主页的“创建新账户”功能引起了我的注意。用户可以为不同的管理项目创建多个不同的账户。在用户界面上，只需输入新账户的名称，即可即时创建。

创建新账户的请求响应如下：

可以看到，上图请求包会自动添加