WooYun.org

先说一下吧，邮箱对常用的标签没有进行过滤导致可以插入标签进行Clickjacking
1.测试XSS的过程中发现邮箱大师确实对XSS过滤的比较严。
但是可以插入iframe标签，利用iframe进入js的话不能实现执行JS代码。
能不能利用apk挂马呢，发现还是不行，
插入iframe仅仅可以插入一个网页，那么能不能实现ClickJacking.于是就试了试发现
style和button没有过滤，可以执行，那么我们就来构造Clickjacking。
2.首先伪造一个点击的请求，插入button的样式如下，把屏幕的邮箱部分全部覆盖。

<style>  
button { 
            position: fixed; 
            top: 0px;  //在这里可以调节button的任意位置
            left: 0px; 
            z-index: 1; 
            width: 400px; 
	    height: 600px; 
            opacity: 0.3; //调节透明度，当为0时完全透明
        } 
</style>
 
     <button onclick="location.href='http://192.168.191.1/xxx/index.php?
con=admin&act=manager_del&id=8'"></button>
//url是删除一个管理员的请求，如果要想实现什么请求，自己以自己可以想到的方式构造吧

3.下面我们就把代码插入我们测试用的邮箱，这个邮箱自己搭建一个，插入代码。

插入后向邮箱大师和网易邮箱发送邮件。
分别用163，sina,sohu,qq等进行测试。发现163自身的邮箱对on进行了过滤，但
绑定的其他邮箱sina，sohu，qq及自己的邮箱没有对邮箱ClickJacking做防御。
存在点击劫持漏洞。
4.我们得到的邮件，
可以完全把button的透明度调为完全透明，实现欺骗点击者。
怎样欺骗用户呢，我们可以发一个链接或者很长的文章，当用户点击或者触及
屏幕向下阅读时触发ClickJacking
邮箱大师
可以看到一个半透明的button挡住了屏幕，欺骗时做成完全透明

网易邮箱移动客户端的

我们利用请求删除管理员，也可以做一些其他自定义的请求
我们未点击屏幕之前

我们点击之后删除了用户test