中国网络渗透测试联盟

标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞 [打印本页]
作者: admin    时间: 2012-11-9 20:38
标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞! w  Y5 k; k' ^/ M0 M3 v

' H% `2 v* i# A( G; Y6 S; k' e7 p0 l   s& y$ A! ~- E8 V
包含  一个反射性XSS  以及  绝对路径泄漏8 o  {) E7 ~" L
看了看 貌似全部是linux的。' G+ v& x/ _' g  Q
2 h/ m- H8 M$ s( m9 s7 k
关键字:迈捷邮件系统 by MagicMail
% E6 }( U+ K+ v& J. z4 p, h# T8 m# h9 }' |# V3 u) G# k+ b: c
可以看到很多政府网站都用这个邮件系统" G5 R0 a* a: {$ P
  z( f  ^+ O9 o! _2 y
绝对路径 http://madman.in/index.php?login_type=declare&language=% h9 R! A( P- d
& q# s0 z" v" ]/ N& E  ]2 ]% [

* O- T# t4 A) Y2 s4 s
/ G: D  d5 l6 f+ LXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E: A& U" h4 ?; B$ |
9 L; X; o/ j& o4 p, ]7 n9 B
0 r& l; O. }5 g. k5 C. |9 z) u. {
! P5 D7 t) j$ ?. y8 p4 L, d
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等- q6 A, h3 e) L3 D/ u! O
5 d8 Q# }5 s4 A
修复方案:看官方补丁吧。
# k- S" J& {0 ^2 M



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2