今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞' }! S/ v+ i9 V! P, O
6 B2 ]1 P) _6 T! m7 c) E, a
0 l8 D; E; U, z& w: d; I包含 一个反射性XSS 以及 绝对路径泄漏
+ q" b) i) @4 W) ~看了看 貌似全部是linux的。
6 d$ o: p* w& H4 F6 K1 S * G$ G8 Y2 E) { U
关键字:迈捷邮件系统 by MagicMail
; i+ C1 \% l6 f/ c1 W3 B0 J: O: y3 b
可以看到很多政府网站都用这个邮件系统# [: T9 W( F* F
. F) ]% W: u* }4 d" S4 o
绝对路径 http://madman.in/index.php?login_type=declare&language=
' P* }; V) ]: X5 {9 B. P3 e5 B- E% Z, b X4 ^5 c# p; t; g+ d. J) \
8 V1 O. w# ^# n2 F0 ^* ?# M
* q7 E9 o5 B- w2 A3 ~# r' ]XSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E0 O4 l' y/ Y: w8 ^
! D* i) g" b1 m
6 X1 i/ H8 O8 W+ r# D9 X3 H9 f1 y4 y- h% x
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等* a: Q- H b Y& i+ W
' Y' K; `# y# M {6 ^
修复方案:看官方补丁吧。
) H" d1 {/ T! @: `' \# F2 ] |
发表于 2012-11-9 20:38:41
收藏
支持
反对