Microsoft Forms未授权获取他人邮箱信息漏洞

开放数据协议（Open Data Protocol，简称OData）是一种描述如何创建和访问Restful服务的OASIS标准。该标准由微软发起 ，前三个版本1.0、2.0、3.0都是微软开放标准，遵循微软开放规范承诺书（Microsoft Open Specification Promise）。第四个版本4.0于2014年3月17日在OASIS投票通过成为开放行业标准。OData协议是一种通过Restful交互的应用层数据协议，它支持数据模型的描述、编辑和请求，其基于SQL理念，不管客户端和数据源的具体类型，都能按照客户端请求响应返回相关数据。OData的数据交互模型如下：

在上述例子中，ID是其中一个实体键。以下请求会返回ID为2的一条顾客记录：

customerApi/Customers(2)

即该请求会返回ID=2的顾客信息。OData和SQL相同的是，我们能以请求方式来获取其中的相关数据。OData支持好几种数据请求方式，例如可以使用以下$select语法去请求受限的实体属性，它会去获取ID=2的顾客email信息：

customerApi/Customers(2)?$select=email

在SQL语法中，其查询样式为：

SELECT email FROM Customers WHERE ID=2;

以上只是为了方便大家了解OData协议举的例子。当然除了$select外，还可以使用其它的查询语法，如JSON或XML格式的数据导出$format等。

我的漏洞测试思路是：首先需要对目标系统有一个整体的了解认识，然后再去一一测试其中的每个功能属性。在Microsoft Forms这里，我首先测试的是其中的OData元数据，为此，我必须对其元数据格式进行一个深入的了解。这里，我可以请求微软官方的metadata接口来看看：
$metadata