区别于多数情况下的理论分析研究,本文从实际攻击所造成威胁的角度,对国内主流Web邮箱系统安全性进行了全面的分析和验证,通过测试结果分析,阐述了当前国内主流Web邮箱系统的安全性,并针对其所面临的安全风险和设计缺陷提供可行的防御策略和建议,同时,设计并实现了用于对Web邮箱系统中富文本邮件内容XSS漏洞进行检测的自动化分析工具MailFuzzer。文中主要涉及了五种安全漏洞类型：JSON劫持、URL越权访问、跨站请求伪造、注入漏洞以及跨站脚本。首先,结合作者长期以来对Web漏洞的研究和理解,文章对五种漏洞类型的基本原理和漏洞本质进行了阐述,接着从安全研究的角度对Web邮箱系统的组成结构进行了抽象,阐述了Web邮箱系统安全问题的关注焦点,同时结合实际系统分析五种漏洞类型在Web邮箱系统中的触发模式和出现场景,并针对Web邮箱系统的功能特点分析了各种漏洞的利用方式和危害影响。其次,通过对实际系统的研究分析,其分析结果显示目前Web邮箱系统最大的安全威胁来自于基于邮件富文本正文内容的XSS漏洞,为实现对Web邮箱系统富文本邮件内容XSS漏洞的自动化分析,本项目设计并实现了自动化检测工具MailFuzzer,工具在实现过程中结合了HACK元素,做到系统设计简单、检测结果有效准确。最后,通过手工漏洞分析,以及使用MailFuzzer工具进行自动化检测两种手段相结合的方式,对本项目研究目标中的国内四大Web邮箱系统进行全面的安全性彻查,从分析出的漏洞结果分布可以看出：第一、目前国内四大主流Web邮箱系统均存在严重的安全漏洞,攻击者可以轻而易举获取系统中任意用户的邮箱数据。第二、针对Web邮箱系统,最大的安全威胁来自跨站请求伪造和跨站脚本两种漏洞类型,目前的现状是：开发者对于CSRF漏洞防御意识淡薄、对于XSS漏洞防御措施不够有效。第三、四大主流Web邮箱系统邮件内容设计上存在缺陷,严重扩大了XSS漏洞的攻击效果。该缺陷体现在Web邮箱系统邮件内容支持内嵌块状CSS样式表信息。通过本项目的研究分析,一方面对国内主流Web邮箱系统安全性进行了评估,另一方面提供了针对Web邮箱系统安全性的分析方法,并就Web邮箱系统的设计缺陷和五种漏洞类型提供了防御建议,以供Web邮箱系统服务商参考。