2026-03-27 04:00:04 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 作者AliMojaver分享了其发现的一个价值300美元的HTML注入漏洞。他通过在电子邮件地址字段中注入`@gmail.com这样的非常规有效载荷，成功触发了系统在达到成员限制时发送的通知邮件，导致邮件内容被篡改。该案例强调了在注册等流程中需注意用户输入的净化，以及安全测试中应采用非常规思路和有效载荷。 综合评分： 85 文章分类： WEB安全,渗透测试,实战经验,解决方案,安全开发

cover_image

0138.300 美元电子邮件 HTML 注入！

原创

Ali Mojaver Ali Mojaver

Rsec

2026年3月19日 08:56 贵州

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。

声明：本文搬运自互联网，如你是原作者，请联系我们！

类型：HTML注入

大家好，我是Ali Mojaver， 一名兼职漏洞猎人（虽然我梦想着能全职做漏洞猎人，摆脱朝九晚五的束缚！😭）。今天，我想和大家聊聊我最近发现的一个价值 300 美元的漏洞。虽然它很简单，但需要一种独特的思维方式，甚至可能包含一种新的有效载荷！

往年，我经常报告一些 “唾手可得”的漏洞，不出所料，其中 90%都被标记为重复。但今年，我把重点转移到寻找更复杂的漏洞，或者在复杂且容易被忽视的领域中寻找简单的安全漏洞。

这种方法或许值得商榷，因为有时大家的想法都和我一样，结果就是那些容易发现的“唾手可得”的漏洞被忽略，无人上报。然而，这是我选择的道路。无论好坏，我都不想再浪费时间，因此，我的重复代码率显著下降了。

#

开始！

#

我选择了一个竞争激烈的公开项目，每天都会收到几十份报告。但这对我来说并不重要——我开始了我的侦察工作。这些项目中的邀请系统尤其让我感兴趣，因为它们常常隐藏着许多业务逻辑漏洞。我首先在我的工作区添加了一个新成员来测试这部分，几秒钟后，我注意到我的邮件里有些东西。

邮件内容为：‘Hey, you added “Blab Blab” to your workspace.**

看到这一点后，我立刻将思路转向了 HTML 注入测试。嘿，就是你——没错，我说的就是你，正在阅读这篇文章的你——这个 bug 本身可能很简单，但要注意思路！

我注意到系统会根据不同的用户操作发送各种通知邮件。我花了 2 到 3 个小时进行侦察和浏览网站，试图找到在这些邮件通知中注入 HTML 代码的最佳位置。 然而，在未能找到漏洞后，我决定转移目标，转而进行其他测试。

任何邀请系统都可以添加成员，对吧？所以我决定测试一下是否存在竞态条件，看看是否可以多次添加同一个用户，或者绕过工作区人数限制。免费版系统限制最多只能添加 10 个成员。我尝试向工作区添加超过 10 个用户，看看系统会有什么反应。测试过程中，我的手机突然收到一条通知：

Hey admin! A user with the email “

[email protected]” has registered to your workspace, and your 10-member limit has been reached! Please upgrade your plan.

嗯！这让我想到：我能否在电子邮件通知中注入 XSS 有效载荷？

去年，我看到 zseano 发的一条推文，其中提到：

Hey, “”@gmail.com is a valid email address and you can use it!

相信我，这个有效载荷简直太神奇了！许多系统未能预料到黑客可能会在电子邮件地址中注入有效载荷，因此它们通常接受类似 "<img/src=x>"@gmail.com 的格式。

我找到了方向，但我又面临另一个挑战：

如果有效载荷触发，则为自 HTML 注入，因为所有者是手动添加成员的。

于是，我转而研究了注册系统。我心想：

如果工作区达到限制，我能否匿名注册“@gmail.com，让有效载荷在所有者的收件箱中触发？

我前往注册页面，并使用电子邮件 "<img/src=x>"@gmail.com 进行了注册。

砰！在拥有者的收件箱中出现了以下消息：

译者：根据上下文联系，这里应该是工作区拥有者或者系统拥有者。

该公司为这个漏洞悬赏了 300 美元。但除了金钱之外，真正重要的是发现漏洞的方法：

化繁为简：HTML 注入通常被认为是一个简单的漏洞，但如果它隐藏在复杂或容易被忽略的代码片段中，那就意义非凡了。大多数黑客不会想到故意达到工作区限制，仅仅为了触发自动邮件警报。许多研究人员也完全忽略了这些特殊情况下的通知。

2. 有效载荷的力量：永远不要低估非常规输入的潜力。在电子邮件字段中使用类似 ““@gmail.com 的有效载荷，可以揭示你方法论中的“魔法”，并绕过开发人员未考虑到的过滤器。

永远要跳出思维定式——有时候最明显的漏洞就隐藏在最意想不到的地方！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rsec Ali Mojaver Ali Mojaver《0138.300 美元电子邮件 HTML 注入！》