WooYun.org

简单说就是上海在线邮箱（http://citiz.online.sh.cn/cloudmail/）允许用户注册任意用户名邮箱，没有屏蔽高危邮箱，可导致任何人向CA申请DV（域名验证）SSL证书。我干的这个事和前几天芬兰人申请微软live.fi域名是一样的[1]。
敏感邮箱包括：admin@、administrator@、postmaster@、hostmaster@、webmaster@。我成功注册的是hostmaster@vip.citiz.net。所以我可以申请vip.citiz.net和其子域名的SSL证书。

接下来我同样去的是Comodo申请的免费90天的SSL证书。使用上述邮箱成功收到CA发来的验证邮件。

此时只需要按邮件中所说的确认后就能得到正式SSL证书。不过我已经证明了问题存在，在这一步时我拒绝了颁发证书。

当然了，其实我要是真想去中间人攻击上海在线邮箱的用户，目前根本不需要这么麻烦，因为上海在线全站都使用明文HTTP。不过万一之后要是支持SSL了呢。而且hostmaster这个邮箱鉴于其用户名特殊，除了申请SSL证书之外也许还能干出其他坏事，比如钓鱼。所以这5个邮箱还是应当妥善处理。
[1] http://www.myhack58.com/Article/html/1/4/2015/60064.htm
[2] https://technet.microsoft.com/en-us/library/security/3046310.aspx
[3] https://www.agwa.name/blog/post/how_to_responsibly_misissue_a_cert