linux下分析webmail代码,Atmail Webmail Client多个HTML代码注入漏洞

最新推荐文章于 2024-06-20 06:21:06 发布
最新推荐文章于 2024-06-20 06:21:06 发布
阅读量352 收藏
点赞数
文章标签: linux下分析webmail代码

发布日期:2012-01-09

更新日期:2012-01-10

受影响系统:

@Mail Atmail Webmail Client 6.3.4

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 51313

Atmail是商业化Linux消息传送平台提供者。

Atmail Webmail Client将用户提供的输入用作动态内容之前没有正确过滤,在实现上存在多个HTML注入漏洞,成功利用可允许攻击者在受影响站点的用户浏览器中执行任意HTML和脚本代码,窃取Cookie身份验证凭证或控制站点外观。

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Benjamin Kunz Mejri ()提供了如下测试方法:

Code Review: Exception Handling of the Application Service

?????SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual

that

corresponds to your MySQL server version for the right syntax to use near '">

<="" where'="" at="" line="" 1=""

Application error

Exception information:<

/h3>

Message: SQLSTATE[42000]: Syntax error or access

violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version

for the

right syntax to use near '">

Thrown in: /usr/local/atmail/webmail/library/Zend/Db/Statement/Pdo.php, Line #:234, Code #: 42000

Stack trace:

#0 /usr/local/atmail/webmail/library/Zend/Db/Statement.php(300):

Zend_Db_Statement_Pdo->_execute(Array)

#1 /usr/local/atmail/webmail/library/Zend/Db/Adapter/Abstract.php(468): Zend_Db_Statement->execute(Array)

#2 /usr/local/atmail/webmail/library/Zend/Db/Adapter/Pdo/Abstract.php(238): Zend_Db_Adapter_Abstract->query('select

count(id...', Array)

#3 /usr/local/atmail/webmail/library/Zend/Db/Adapter/Abstract.php(799): Zend_Db_Adapter_Pdo_Abstract->query('select

count(id...', Array)

#4/usr/local/atmail/webmail/application/models/api.php(3270): Zend   ...    ...

Code Review: Adding New User - Userverwaltung  or User Registration

Firstname              

value="">

Lastname               

Code Review: Mass Mail - Output

Filter by domain:

" type="text">

Specify a domain or email to filter results

建议:

--------------------------------------------------------------------------------

厂商补丁:

@Mail

-----

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

0b1331709591d260c1c78e86d0c51c18.png

魑魅丶小鬼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux下Open-Webmail邮件服务器配置.doc
12-02
Linux 下 Open-Webmail 邮件服务器配置 一、Linux 下的 WebMail 服务概述 在 Linux 系统中,WebMail 服务可以提供用户通过浏览器来收发电子邮件的功能,不需要借助邮件客户端。这使得用户可以随时随地地访问和管理...
PHP邮件客户端 atmail 安装
05-02
邮件客户端 atmail 安装图文过程 http://www.ossez.com/forum.php?mod=viewthread&tid=10684&fromuid=426
新的未修补的Horde Webmail漏洞可以让黑客通过发送邮件接管服务器
qzt961003的博客
06-02 1058
开放源码的Horde Webmail客户端发现一个新的未修补的安全漏洞,黑客只需向受害者发送一封特制的电子邮件,就可以利用这个漏洞在电子邮件伺服器上远程执行代码
目前国内一些Web mail存在的一个安全漏洞
风信子的专栏
02-19 1334
   该Script源于上个世纪(1999年)一次在设置免费email的自动转发时看到一长串的Url时的想法...      看完这篇文章或许你应该赶紧去检查一下你email中的自动转发中有没有别人的email地址:=(  最好不要随便打开别人发给你的HTML文件...   我们知道,国内好些免费email用户登录后的认证都是靠一长串的Url(如我用ShellTools登  录后是"http
漏洞复现】致远OA webmail.do 任意文件下载 (CNVD-2020-62422)
最新发布
凝聚力安全团队
06-20 352
致远OA webmail.do 处存在任意文件读取,攻击者可以从其中获取网站路径和数据库账号密码等敏感信息进一步攻击。
email客户端php,开放是一个轻量级的php Atmail邮件客户端
weixin_34354231的博客
03-16 318
AtMail is an open source webmail client written in PHP. We aim to provide a elegant Ajax webmail client for existing IMAP mailservers, with less bloat and a focus on an intuitive, simple user interfac...
Linux平台上Webmail系统的分析和实现.pdf
09-07
Linux平台上Webmail系统的...总的来说,该论文提供了在Linux平台上实现Webmail系统的技术分析和实践指南,涵盖了从系统设计、开发工具选择、关键技术实现到性能优化等多个方面,为相关领域的开发者提供了宝贵的参考。
Linux环境下WebMail的设计与实现.pdf
09-07
Linux环境下WebMail的设计与实现.pdf
MDaemon补丁公告-MD011221
上海云璨的博客
03-10 228
MDaemon Technologies开发团队已经构建并测试了一个补丁,以纠正MDaemon远程管理和Webmail(Worldclient)中的一个潜在漏洞,此漏洞可能会影响所有浏览器类型。此安全更新是针对MDaemon电子邮件服务器16.0-20.0版本。 只需下载并安装此中列出的相应补丁即可(补丁下载)。 不需要更新您的许可来获得补丁。不过,我们鼓励使用较早、不受支持的MDaemon版本的用户升级到最新版本,以确保他们拥有最新的补丁和安全更新。 ...
Roundcube Webmail信息泄露漏洞(CVE-2015-5383)
weixin_30512089的博客
04-10 822
Preface Software:https://roundcube.net/Versions:1.1.x<1.1.2(亲测1.1.5也有效)CVE:CVE-2015-5383Author:adprotasRelease date: 2015-5-5 Reference CVE-2015-5383 Light infodisclosure issue Roundcube W...
AtMail Open-开源
05-01
AtMail是一个用PHP编写的开源Webmail客户端。 我们的目标是为现有的IMAP邮件服务器提供一个优雅的Ajax Webmail客户端,以减少膨胀,并专注于直观,简单的用户界面。
Icewarp Web Mail存在多个安全漏洞
风信子的专栏
02-19 1655
 受影响系统:Icewarp Web Mail 5.3.2Icewarp Web Mail 5.3.0描述:--------------------------------------------------------------------------------MERAK Mail Server使用Icewarp Web Mail作为WEB邮件系统。Icewa
Roundcube Webmail跨站脚本漏洞(CVE-2015-5381 )
weixin_30242907的博客
04-10 715
Preface Software: https://roundcube.net/Versions:1.1.x<1.1.2CVE:CVE-2015-5381Author:sroesemannRelease date: 2015-5-30 Reference Roundcube Webmail跨站脚本漏洞(CNVD-2017-08082) XSS via _mbox-paramet...
无意中发现winwebmail系统的一个漏洞
weixin_34242658的博客
03-02 729
或许大家已经都知道了,呵呵~ 就是winwebmail邮件服务器系统,用户名和密码全部存在winwebmail的安装目录中popusers.ini文件里面!包括admin管理员用户!当然,密码是加密的! 或许大家已经都知道了,呵呵~ 就是winwebmail邮件服务器系统,用户名和密码全部存在winwebmail的安装目录中popusers.ini文件里面!包括...
linux mbox,RoundCube Webmail “_mbox”参数跨站脚本执行漏洞
weixin_29189381的博客
05-28 184
发布日期:2011-08-18更新日期:2012-02-03受影响系统:Apple MacOS X Server 10.7.2Apple MacOS X Server 10.7.1Apple MacOS X Server 10.7RoundCube Webmail 0.5.x不受影响系统:Apple MacOS X Server 10.7.3RoundCube Webmail 0.5.4描述:--...
Web漏洞挖掘(一)登录认证模块的暴力破解实例
wuqi5700的博客
07-26 4340
Web漏洞挖掘(一)登录认证模块的暴力破解实例暴力破解的定义暴力破解的分类暴力破解的威胁涉及的基础知识模块相关硬件(高速GPU推荐)基于Burp Suite的暴力破解实例 暴力破解的定义 暴力破解测试是指针对应用系统用户登录账号与密码进行的枚举测试,针对账号或密码进行逐一对比,直到找到正确的账号与密码。 暴力破解的分类 已知账号的情况 :加载密码字典针对密码进行枚举测试; 未知账号的情况 :加载账号字典,配合着密码字典进行枚举测试; 未知账号和密码的情况:利用两个账号字典与密码字典进行枚举测试; 暴力破
Webmail邮件攻防实战技术总结[转]
weixin_33777877的博客
05-23 591
WebMail是指利用浏览器通过web方式来收发电子邮件的服务或技术,不需借助邮件客户端,可以说只要能上网就能使用WebMail,极大地方便了用户对邮件的收发。对于不能熟练使用邮件客户端, 或者在网吧不便使用邮件客户端的用户来说,WebMail更是必不可少的选择。Email能够成为当今Internet上应用最广泛的网络服务,WebMail可谓功不可没。  由于用户的使用不当或者WebMail系统...
"Linux下高效WebMail邮件服务器配置及优势详解
Linux下Open-Webmail邮件服务器配置.doc是关于在Linux系统下配置Open-Webmail邮件服务器的文档。Web邮件服务器是一种能够通过浏览器来收发电子邮件的服务或技术,用户不需要借助邮件客户端,只要能上网就能够使用,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值