发布日期:2012-01-09

更新日期:2012-01-10

受影响系统:

@Mail Atmail Webmail Client 6.3.4

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 51313

Atmail是商业化Linux消息传送平台提供者。

Atmail Webmail Client将用户提供的输入用作动态内容之前没有正确过滤,在实现上存在多个HTML注入漏洞,成功利用可允许攻击者在受影响站点的用户浏览器中执行任意HTML和脚本代码,窃取Cookie身份验证凭证或控制站点外观。

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Benjamin Kunz Mejri ()提供了如下测试方法:

Code Review: Exception Handling of the Application Service

?????SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual

that

corresponds to your MySQL server version for the right syntax to use near '">

<="" where'="" at="" line="" 1=""

Application error

Exception information:<

/h3>

Message: SQLSTATE[42000]: Syntax error or access

violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version

for the

right syntax to use near '">

Thrown in: /usr/local/atmail/webmail/library/Zend/Db/Statement/Pdo.php, Line #:234, Code #: 42000

Stack trace:

#0 /usr/local/atmail/webmail/library/Zend/Db/Statement.php(300):

Zend_Db_Statement_Pdo->_execute(Array)

#1 /usr/local/atmail/webmail/library/Zend/Db/Adapter/Abstract.php(468): Zend_Db_Statement->execute(Array)

#2 /usr/local/atmail/webmail/library/Zend/Db/Adapter/Pdo/Abstract.php(238): Zend_Db_Adapter_Abstract->query('select

count(id...', Array)

#3 /usr/local/atmail/webmail/library/Zend/Db/Adapter/Abstract.php(799): Zend_Db_Adapter_Pdo_Abstract->query('select

count(id...', Array)

#4/usr/local/atmail/webmail/application/models/api.php(3270): Zend   ...    ...

Code Review: Adding New User - Userverwaltung  or User Registration

Firstname

value="">

Lastname

Code Review: Mass Mail - Output

Filter by domain:

" type="text">

Specify a domain or email to filter results

建议:

--------------------------------------------------------------------------------

厂商补丁:

@Mail

-----

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

linux下分析webmail代码,Atmail Webmail Client多个HTML代码注入漏洞相关推荐

  1. Java占Linux超过xms,linux下分析java程序占用CPU、内存过高

    一.CPU过高分析 1)使用TOP命令查看CPU.内存使用状态可以发现CPU占用主要分为两部分,一部分为系统内核空间占用CPU百分比,一部分为用户空间占用CPU百分比.其中CPU状态中标示id的为空闲 ...

  2. linux下分析webmail代码,十分钟快速架设Linux系统下WebMail

    目前,网上能找到不少WebMail,但多为商业,动辄支持百万级用户.它们虽然功能很强,但对一般单位来讲,有点儿"大材小用".那么,能否找到这样一个WebMail:免费的.对中文支持 ...

  3. Linux内核分析:完成一个简单的时间片轮转多道程序内核代码

    PS.贺邦   原创作品转载请注明出处  <Linux内核分析>MOOC课程    http://mooc.study.163.com/course/USTC-1000029000 1.m ...

  4. linux 内核空间占用cpu百分比过高,linux下分析java程序占用CPU、内存过高

    一.CPU过高分析 1)使用TOP命令查看CPU.内存使用状态可以发现CPU占用主要分为两部分,一部分为系统内核空间占用CPU百分比,一部分为用户空间占用CPU百分比.其中CPU状态中标示id的为空闲 ...

  5. Linux内核分析2:一个简单的时间片轮转多道程序内核代码分析

    Lab2:一个简单的时间片轮转多道程序内核代码 席金玉   <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-100002900 ...

  6. Linux下的软件安装方式+源码安装软件cmatrix代码雨

    Linux下的软件安装方式 1 rpm工具安装 2 yum工具安装 3 源码编译安装 软件包类型 1 二进制软件包(=rpm软件包) 无需编译,直接安装 根据计算机CPU架构类型和操作系统选择合适的软 ...

  7. linux下分析hprof大文件,Hprof 内存分类分析

    一hprof内存分类 当我们使用hprof分析进程的内存时,出现三类内存类型,分别是: App heap - The heap used by the current app. Image heap ...

  8. 邮件客户端 web linux,Linux下五个流行的Webmail

    Webmail是一个基于网页的邮件客户端,和传统的邮件客户端不同的是,Webmail是独立于操作系统,你仅仅只是需要一个浏览器就可以访问email. Webmail 和传统的邮件客户端一样,有着相同的 ...

  9. 【Linux高效小trick】Linux下杀死僵尸进程,释放GPU内存,让代码全速运行~

    问题描述 在自己电脑上或Linux服务器上是不是经常看到这个页面,进程很多,但是进入进程详细信息就会发现明明进程老早就停止了,但是还是在占用内存???强迫症的真受不了,还影响把自己深度下去!!!下面的 ...

最新文章

  1. 整图下沉,MindSpore图引擎详解
  2. nginx-rtmp 之统计在线clients
  3. JDBC连接MySQL数据库及示例
  4. 5848. 树上的操作
  5. 【MPS最佳实践】媒体工作流转码
  6. 2021住房消费品质服务报告
  7. Python文件读写模式
  8. 【Vue2.0】—解决页面闪烁的问题(八)
  9. 存到mysql的中文乱码_web项目存数据到数据库,中文乱码,解决过程
  10. 符号常量和常变量的区别
  11. 关于PHP程序员技术职业生涯规划--swool大神韩天峰
  12. 微软project下载安装及激活教程
  13. 十年一剑,股票自动交易实验(寻找股海宝藏之旅—解锁股市交易更多姿势)
  14. 1.5 深入理解常见类
  15. 电商项目如何解决线上优惠券超发(排错+解决方案)(荣耀典藏)
  16. sdlc esd.oracle.com,jdk下载安装
  17. google浏览器到前进键和后退键分别是什么
  18. 盘点linux云计算就业方向
  19. LightGBM -- Light Gradient Boosting Machine
  20. HDMI中继器,网线延长器,HDBASET传输器

热门文章

  1. VVC学习之五:帧内预测——67个模式预测信号生成 predIntraAng()
  2. 微软三维人脸重建论文总结——《Accurate 3D Face Reconstruction with Weakly-Supervised Learning》
  3. JAVA在鼠标点击位置绘制圆,单击鼠标后在JPanel上绘制圆圈
  4. c语言中错误c2062,C/C++编译器错误消息大全
  5. 浏览器配置异常_浏览器配置错误 设置为可信站点或调整当前浏览器模式
  6. 关闭potplayer播放器屏幕大量信息
  7. 闭上眼睛时,会感触到那清风拂过脸颊的柔
  8. 第二次作业:支付宝案例分析1
  9. 敏捷宣言的第五项原则
  10. oracle当天八点,oracle实现动态查询前一天早八点到当天早八点的数据功能示例