WooYun.org

跟网易这个XSS过滤器打交道，有一阵儿了 试了很多方法，一直没法绕过去 刚无意中发现这个Filter的一个小缺陷，所以就来提交一下。
先说一下这个过滤器，会对XSS vector特别关键的部分,如on事件 伪协议 和一些重要的属性的，中间或前面部分加上“_”，导致XSS向量失效。（我反正觉得这个过滤器很强大）
但是在用一个mXSS向量进行测试时发现了一个问题，下面附上测试步骤。
对目标网易邮箱用户发送内容如下的邮件：

<img src="foo" alt="``onerror=alert(30)">

//在IE6,7,8下有效
这里的onerror因为做为alt的值出现在邮件内容当中，所以并不会被过滤。
但是在用户接到邮件后，试图转发或回复时，也并不会被触发。
一个并不会触发的漏洞，怎么会成为安全隐患呢？
因为当用户在回复或转发邮件的过程中如果试图输入一些内容在邮件里面，比方说：
“记得及时回复油件！” 。
然后发现我打错了 直接ctrl+z 来撤销我的输入
这个时候，邮件系统会将之前的内容重新写进DOM中，这个时候就会触发了。
感觉受影响的浏览器也不算太多，触发条件也不痛不痒的 不过还是觉得应该提交一下