漏洞细节
首先在个人签名的标题和内容处输入"><img src="#" οnerrοr=alert('22222222222')>
点击保存
写一封信
一直都是服务繁忙,发送不出去
于是对签名内容进行base64加密
打开收到的邮件,成功触发
弹cookie
修复建议
加强过滤
首先在个人签名的标题和内容处输入"><img src="#" οnerrοr=alert('22222222222')>
点击保存
写一封信
一直都是服务繁忙,发送不出去
于是对签名内容进行base64加密
打开收到的邮件,成功触发
弹cookie
加强过滤