后续
我立马把该漏洞报送给了Mail.ru官方,获得了其$1000的漏洞奖励。
而据Mail.ru安全经理告知,我的这个漏洞并不是所谓的Stored XSS,而是一种名为“跨应用程序脚本(Cross application scripting,CAS)”的漏洞,但我觉得还是XSS吧。或许我是错的,不管了,但终归还是学到了新知识。
跨应用程序脚本(CAS)漏洞:会影响无法详尽检查输入的应用程序。 CAS允许攻击者插入修改特定应用程序行为的数据,这使得可以从用户系统内部提取数据,利用CAS漏洞,攻击者可以获得应用程序的全部特权。