利用mail.139.com，由于对邮件正文过滤不严,导致存在xss漏洞来触发浏览器去读取远端的js脚本,并且执行该脚本。该脚本能够在IE浏览器执行。 同时,经过分析发现,mail.139.com中发送邮件的功能存在CSRF弱点 可以通过Ajax技术获取发送邮件所需要的mid值。另外邮箱的“通信录 “中的联系人邮件可以直接通过javascr ipt取出。-Using mail.139.com, due to lax message body filtering, leading to xss

WordPress 3.1.1 中文版本现已发布。此版本是修订版本，修复了 3.1 中包含安全问题在内的近 30 个问题。几个重要更新内容： 加强媒体文件上传的安全性 性能改进 增加对 IIS6 的支持 修正分类和 PATHINFO（/index.php/）的固定链接问题 修正了在某些极端情况下，数据库查询和分类法相关内容可能导致插件不兼容的问题 3.1.1 版本包含了我们的安全团队成员、WordPress 核心开发者 Jon Cave 和 Peter W

仅用于Discuz！X。用于开发时，截获应用程序是否有CSRF问题。需要搭配官方发布的Debug工具。-Only Discuz! X. For development, the intercept application has CSRF problem. Needs with the official release Debug tools.

xss反射存储型的+csrf+html注入老网站的练习源码(Xss+csrf+html practice source code)