extmail找回密码带来的可提供交互性社工的问题

### 简要描述： 大部分的extmail产品用户在使用该产品时并不会注意到该问题,以至于许多这种页面都可以直接通过外网进行访问,由于该产品是属于邮件系统,使用者本身会在网络上留下邮件地址,通过web界面访问得知该系统之后就会给其带来可被交互性社工的危险。呵呵,最近挺忙,事情挺多的 ### 详细说明： 大部分的extmail产品用户在使用该产品时并不会注意到该问题,以至于许多这种页面都可以直接通过外网进行访问,由于该产品是属于邮件系统,使用者本身会在网络上留下邮件地址,通过web界面访问得知该系统之后就会给其带来可被交互性社工的危险,我测试了一家知名上市企业,在监视了该企业三个月后无人发觉,本来想通知这叫家企业,但是通知这一家起不到什么作用。 另外该系统还存在存储型xss问题 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201205/18161403f0a2c0c8f236fa74bc021cc8692de5b4.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201205/18161403f0a2c0c8f236fa74bc021cc8692de5b4.jpg)