WooYun.org

一、发一封邮件：
标题为：

"> <img src="#" onerror="alert(document.cookie)" > 用分号截断a标签的onclick属性；用大于号来闭合a标签~；而后可以随意发挥XSS，各种构造与传播

二、发送完成后，不管收件人点与不点，目标收件箱处于打开状态的话，都会很友好地弹出一个新邮件提示框。然而，正是这个框，立马触发了XSS的执行，请看cookie。

　　从下面的源码可看出，提示框中输出时并未过滤 >、<、”、’ 等几个字符（实验证明，它没过滤任意字符，可以插入<img> 、<script>、<iframe>……等任意标签），很容易就截断原来的<a>标签而造成任意XSS跨站。

三、梅开二度
　　在邮件的预览界面里，同样可以触发XSS。

熟悉的cookie：

四、连中三元？
　　幸运的是邮件内容中过滤了非法字符，标题和内容都不会导致ＸＳＳ，而且标题也有大小限制，反正我最长的标题输入只能是这个（但已经不少了，加上调用外部js的话 - - ）：
"> <img src="c.jjpg" onerror="alert(0sdfsfsd6f5s4df564555555555555555555555555555555555555555555555555555555555555ssssssdddddddddddsssssssssssssssssssssssssssssssss)" > 用分号截断a标签的onclick属性；用大于号来闭合a标签~：
但是，由于没过滤任意字符可以插入<-- ….. --> ，不知可否入手。
五、总结一下：
　　1.只要受害者开着收件箱、或打开收件箱，每封新邮件都会弹提示对话框，所谓躺着也中枪。
　　2.用户预览邮件的时候，立马膝盖中箭。
　　3.蠕虫什么的就不写了，白费精力，相信移动过两天就修复了。
　　4.修复什么的，我说都是浮云，10086更懂。