VULHUB ™

### 简要描述： 屌丝怎么活，上大学了，没手机没电脑，伤心啊(⊙.⊙) ### 详细说明： 顺手搞搞APP，发现APP大概没被关注到，所以问题还很低级。 #1 为了方便收发邮件下载了Coremail的APP（测试于ios版本） [<img src="https://images.seebug.org/upload/201507/01170708c2df7a9d0bd050b7195902b15b6b9e5e.png" alt="QQ截图20150701170827.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/01170708c2df7a9d0bd050b7195902b15b6b9e5e.png) #2 测试发现APP上近乎不设防，除了直接源码插入的`<script>alert(1)</script>`没触发，像`<img src=1 onerror=alert(1)>`之类的都可以触发 [<img src="https://images.seebug.org/upload/201507/011716176fa9baa5c2925af54ca41d671c560ffb.png" alt="QQ截图20150701171638.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/011716176fa9baa5c2925af54ca41d671c560ffb.png) [<img src="https://images.seebug.org/upload/201507/01171624ff7b7993e7a412667dae42f3a00af02b.png" alt="QQ截图20150701171713.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/01171624ff7b7993e7a412667dae42f3a00af02b.png)...

### 简要描述： 屌丝怎么活，上大学了，没手机没电脑，伤心啊(⊙.⊙) ### 详细说明： 顺手搞搞APP，发现APP大概没被关注到，所以问题还很低级。 #1 为了方便收发邮件下载了Coremail的APP（测试于ios版本） [<img src="https://images.seebug.org/upload/201507/01170708c2df7a9d0bd050b7195902b15b6b9e5e.png" alt="QQ截图20150701170827.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/01170708c2df7a9d0bd050b7195902b15b6b9e5e.png) #2 测试发现APP上近乎不设防，除了直接源码插入的`<script>alert(1)</script>`没触发，像`<img src=1 onerror=alert(1)>`之类的都可以触发 [<img src="https://images.seebug.org/upload/201507/011716176fa9baa5c2925af54ca41d671c560ffb.png" alt="QQ截图20150701171638.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/011716176fa9baa5c2925af54ca41d671c560ffb.png) [<img src="https://images.seebug.org/upload/201507/01171624ff7b7993e7a412667dae42f3a00af02b.png" alt="QQ截图20150701171713.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/01171624ff7b7993e7a412667dae42f3a00af02b.png) #3 虽然没有作用域，但毕竟正文直接触发，还是可以干很多坏坏的事情。 况且作为网易什么乱七八糟双重资质认证，安全性较高的邮箱，这样是不是不好，我怎么敢放心用这个APP呢 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201507/0117215036696656899edd5018f556c1a2b8aee9.png" alt="QQ截图20150701171638.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/0117215036696656899edd5018f556c1a2b8aee9.png)