中国网络渗透测试联盟

标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞 [打印本页]
作者: admin    时间: 2012-11-9 20:38
标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
) G1 S* s, P6 z+ t- H8 D$ q+ O# ?+ \# O, V9 A/ v8 i+ g6 v
4 `+ X% ]) t. q& `: Y0 b9 g
包含  一个反射性XSS  以及  绝对路径泄漏
  o3 ]" J: ^7 t3 d) e* A看了看 貌似全部是linux的。
* v# L# d; T# b
/ c6 D3 {8 E2 y& i. @关键字:迈捷邮件系统 by MagicMail  f$ D" S. ~7 @& @* p

2 Y1 Y" y! ]3 Y' {7 Z可以看到很多政府网站都用这个邮件系统
* Q, v6 g: G' J# u5 N& H& U' |# k7 k5 D! v3 T2 r
绝对路径 http://madman.in/index.php?login_type=declare&language=* ?; H4 Y( t9 S; Q9 I4 J: ~5 L; H
. i* G* w: b  n+ R
/ E; X' {0 i; x

( _/ ?# v* o4 A/ K6 rXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E4 J) }- O9 F( J3 ]7 j
  c  J+ f" Y- }) r
" Q% I: K- `  v! w. Q
1 s) O. t7 z. Z1 z1 b- p# P( {4 G
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
% Y/ e- h+ n/ Z; f& L7 k) f  ` & F+ V, `& X& F
修复方案:看官方补丁吧。7 _1 O$ E5 t- u( @+ @. R' }




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2