linux下分析webmail代码,Atmail Webmail Client多个HTML代码注入漏洞
发布日期:2012-01-09
更新日期:2012-01-10
受影响系统:
@Mail Atmail Webmail Client 6.3.4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 51313
Atmail是商业化Linux消息传送平台提供者。
Atmail Webmail Client将用户提供的输入用作动态内容之前没有正确过滤,在实现上存在多个HTML注入漏洞,成功利用可允许攻击者在受影响站点的用户浏览器中执行任意HTML和脚本代码,窃取Cookie身份验证凭证或控制站点外观。
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Benjamin Kunz Mejri ()提供了如下测试方法:
Code Review: Exception Handling of the Application Service
?????SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual
that
corresponds to your MySQL server version for the right syntax to use near '">
<="" where'="" at="" line="" 1=""
Application error
Exception information:<
/h3>
Message: SQLSTATE[42000]: Syntax error or access
violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version
for the
right syntax to use near '">
Thrown in: /usr/local/atmail/webmail/library/Zend/Db/Statement/Pdo.php, Line #:234, Code #: 42000
Stack trace:
#0 /usr/local/atmail/webmail/library/Zend/Db/Statement.php(300):
Zend_Db_Statement_Pdo->_execute(Array)
#1 /usr/local/atmail/webmail/library/Zend/Db/Adapter/Abstract.php(468): Zend_Db_Statement->execute(Array)
#2 /usr/local/atmail/webmail/library/Zend/Db/Adapter/Pdo/Abstract.php(238): Zend_Db_Adapter_Abstract->query('select
count(id...', Array)
#3 /usr/local/atmail/webmail/library/Zend/Db/Adapter/Abstract.php(799): Zend_Db_Adapter_Pdo_Abstract->query('select
count(id...', Array)
#4/usr/local/atmail/webmail/application/models/api.php(3270): Zend ... ...
Code Review: Adding New User - Userverwaltung or User Registration
Firstname
value="">
Lastname
Code Review: Mass Mail - Output
Filter by domain:
" type="text">
Specify a domain or email to filter results
建议:
--------------------------------------------------------------------------------
厂商补丁:
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
linux下分析webmail代码,Atmail Webmail Client多个HTML代码注入漏洞相关推荐
- Java占Linux超过xms,linux下分析java程序占用CPU、内存过高
一.CPU过高分析 1)使用TOP命令查看CPU.内存使用状态可以发现CPU占用主要分为两部分,一部分为系统内核空间占用CPU百分比,一部分为用户空间占用CPU百分比.其中CPU状态中标示id的为空闲 ...
- linux下分析webmail代码,十分钟快速架设Linux系统下WebMail
目前,网上能找到不少WebMail,但多为商业,动辄支持百万级用户.它们虽然功能很强,但对一般单位来讲,有点儿"大材小用".那么,能否找到这样一个WebMail:免费的.对中文支持 ...
- Linux内核分析:完成一个简单的时间片轮转多道程序内核代码
PS.贺邦 原创作品转载请注明出处 <Linux内核分析>MOOC课程 http://mooc.study.163.com/course/USTC-1000029000 1.m ...
- linux 内核空间占用cpu百分比过高,linux下分析java程序占用CPU、内存过高
一.CPU过高分析 1)使用TOP命令查看CPU.内存使用状态可以发现CPU占用主要分为两部分,一部分为系统内核空间占用CPU百分比,一部分为用户空间占用CPU百分比.其中CPU状态中标示id的为空闲 ...
- Linux内核分析2:一个简单的时间片轮转多道程序内核代码分析
Lab2:一个简单的时间片轮转多道程序内核代码 席金玉 <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-100002900 ...
- Linux下的软件安装方式+源码安装软件cmatrix代码雨
Linux下的软件安装方式 1 rpm工具安装 2 yum工具安装 3 源码编译安装 软件包类型 1 二进制软件包(=rpm软件包) 无需编译,直接安装 根据计算机CPU架构类型和操作系统选择合适的软 ...
- linux下分析hprof大文件,Hprof 内存分类分析
一hprof内存分类 当我们使用hprof分析进程的内存时,出现三类内存类型,分别是: App heap - The heap used by the current app. Image heap ...
- 邮件客户端 web linux,Linux下五个流行的Webmail
Webmail是一个基于网页的邮件客户端,和传统的邮件客户端不同的是,Webmail是独立于操作系统,你仅仅只是需要一个浏览器就可以访问email. Webmail 和传统的邮件客户端一样,有着相同的 ...
- 【Linux高效小trick】Linux下杀死僵尸进程,释放GPU内存,让代码全速运行~
问题描述 在自己电脑上或Linux服务器上是不是经常看到这个页面,进程很多,但是进入进程详细信息就会发现明明进程老早就停止了,但是还是在占用内存???强迫症的真受不了,还影响把自己深度下去!!!下面的 ...
最新文章
- 整图下沉,MindSpore图引擎详解
- nginx-rtmp 之统计在线clients
- JDBC连接MySQL数据库及示例
- 5848. 树上的操作
- 【MPS最佳实践】媒体工作流转码
- 2021住房消费品质服务报告
- Python文件读写模式
- 【Vue2.0】—解决页面闪烁的问题(八)
- 存到mysql的中文乱码_web项目存数据到数据库,中文乱码,解决过程
- 符号常量和常变量的区别
- 关于PHP程序员技术职业生涯规划--swool大神韩天峰
- 微软project下载安装及激活教程
- 十年一剑,股票自动交易实验(寻找股海宝藏之旅—解锁股市交易更多姿势)
- 1.5 深入理解常见类
- 电商项目如何解决线上优惠券超发(排错+解决方案)(荣耀典藏)
- sdlc esd.oracle.com,jdk下载安装
- google浏览器到前进键和后退键分别是什么
- 盘点linux云计算就业方向
- LightGBM -- Light Gradient Boosting Machine
- HDMI中继器,网线延长器,HDBASET传输器
热门文章
- VVC学习之五:帧内预测——67个模式预测信号生成 predIntraAng()
- 微软三维人脸重建论文总结——《Accurate 3D Face Reconstruction with Weakly-Supervised Learning》
- JAVA在鼠标点击位置绘制圆,单击鼠标后在JPanel上绘制圆圈
- c语言中错误c2062,C/C++编译器错误消息大全
- 浏览器配置异常_浏览器配置错误 设置为可信站点或调整当前浏览器模式
- 关闭potplayer播放器屏幕大量信息
- 闭上眼睛时,会感触到那清风拂过脸颊的柔
- 第二次作业:支付宝案例分析1
- 敏捷宣言的第五项原则
- oracle当天八点,oracle实现动态查询前一天早八点到当天早八点的数据功能示例