未经许可，不得转载。

正文

目标：example.com

该站点允许存在主要邮箱和次要邮箱。

在尝试使用次要邮箱和密码登录时，由于账户最初是通过主邮箱创建的，无法登录。于是，我通过次要邮箱使用Google OAuth进行登录。令人意外的是，我成功通过Google OAuth登录了该账户。

接着，我在两个浏览器上登录了同一个账户：Chrome浏览器使用主邮箱（attacker1@gmail.com）和密码登录，Firefox浏览器通过次要邮箱（attacker2@gmail.com）使用Google OAuth登录。接下来，我在Chrome浏览器中将次要邮箱更改为mine@gmail.com，并禁用了断开Google账户的选项。

如果程序是正常工作的，那么此时Firefox浏览器上的会话应该失效。

接着，我重新加载了Firefox的会话，发现会话仍然保持活跃状态。然后我尝试在Firefox浏览器将次要邮箱从mine@gmail.com改回attacker2@gmail.com，发现这些修改成功了。当我重新加载Chrome的会话时