前幾天，獵戶座在補天漏洞相應平臺參加團隊活動，又發布了一個重量級互聯網產品——騰訊郵箱的安全漏洞。

騰訊郵箱網站上的crossdomain.xml 文件由于業務的繁雜導致配置的范圍過大，導致容易形成CSRF漏洞，因為郵箱的所有操作均需要一個sid參數，進而組織了漏洞的利用。但正因為這樣，只要我們找到頁面中存在泄漏sid的鏈接并獲取，這樣就形成CSRF 漏洞。

前段時間，QQ郵箱也爆出了一個XSS，(詳情如下:http://bobao.360.cn/learning/detail/2262.html)。我們的研究人員捕獲到這個漏洞的時候，它已經被在黑產圈內廣泛用于重置iCould密碼 。

通過郵箱重置iCloud密碼早已已經形成了一條黑色產業鏈，很多不法分子從中盈利。其中最常用的手段之一就是通過XSS進入目標郵箱，然后在蘋果官方申請密碼重置，黑客獲取到蘋果發送的重置密碼的郵件就可以重置密碼，然后可以解鎖被盜手機進行二次銷售，或者鎖定用戶手機以此勒索用戶等等非法行為。

而QQ郵箱作為使用量最多的郵箱，其中的XSS漏洞危害會更大。像本次這種水坑式XSS更是可以用來大面積撒網攻擊用戶。所以補天再次提醒各位用戶，除了經常更換郵箱密碼之外，關閉郵箱的時候一定要點擊郵箱中的“退出”按鈕，這樣Cookie就會失效，黑客也就沒有辦法進入郵箱了。