以下笔记适用于 Roundcube mail 1.4.4 代码结构 ├─bin // 涉及到更新的相关bash脚本 ├─config //配置文件 ├─installer // 安装目录 ├─...在审计roundcube mail的代码过程中,我们可以把目标的重心放在program目录下,其中 include、lib、steps这三个目录分别包含了整个系统最核心的相关代码。...入口路由 在弄明白roundcube的结构时,首先我们把目标放在路由入口处。 值得注意的是steps中的代码都是.inc结尾的,所以我们必须要从入口文件进入才能走到具体的代码部分。...mvc结构 roundcube的MVC结构,出口函数为 $OUTPUT->send(); 跟随这个send函数,我们可以找到引入模板文件的位置 program/include/rcmail_output_html.php...Ui', array($this, 'alter_form_tag'), $output); return $output; } 相应的类变量被重新刷新回去 全局变量以及过滤函数 过滤函数 Roundcube
directory of your Roundcube installation....->user->get_username(); } return rcube_utils::idn_to_utf8($username); } in program/lib/roundcube...And this value is inserted into the database by call function insert_identity program/lib/roundcube/rcube_user.php.../program/lib/roundcube/rcube_user.php lime 648 $rcube->user = $user_instance; $mail_domain = $rcube-
简介 Roundcube是一个Webmail客户端,具有强大的安全功能和来自其插件存储库的广泛自定义选项。本文介绍如何进一步保护基本的现有Roundcube安装。...如果在Roundcube的初始设置中配置IMAP和STMP设置时使用了SSL,则Roundcube与电子邮件服务器之间的连接已得到保护。...但是,从您的浏览器到Roundcube的连接却不是这样,您的电子邮件本身也是明文发送的。您的Roundcube帐户本身也仅受密码保护。...使用Roundcube插件为您的Roundcube帐户添加双重身份验证。 使用GPG使用Roundcube插件对电子邮件进行签名和加密。...第一步 - 添加SSL以安全访问Roundcube 现在,如果您在浏览器中使用服务器的域名访问Roundcube安装,则将通过HTTP而不是HTTPS进行连接。
Linux,Apache,MySQL和PHP(LAMP)Stack 本节将介绍如何从头开始在您的Linode上安装Apache,MySQL,PHP和SSL。...权限表以重新加载它们: FLUSH PRIVILEGES; 注销MySQL命令提示符并返回常规Linux shell提示符: exit Roundcube 最终准备工作 安装并启用所需的PHP包:...开始配置Roundcube。Roundcube图形配置的第一步是环境检查。单击页面底部的“ 下一步”按钮继续。...删除安装程序目录 删除/var/www/roundcube/installer目录,其中包含刚刚用于配置Roundcube的网页文件: sudo rm -rf /var/www/roundcube/...Roundcube主页
第2步 - 下载Roundcube 与Linux中的许多项目一样,有两种方法可以安装Roundcube:从包或源。Roundcube有一个PPA,但由于该项目正在积极开发中,PPA经常过时。...www/roundcube/logs/ 我们已经下载了Roundcube的代码并更新了它的位置和权限,但此时它只是部分安装。...要完成安装,我们需要通过Roundcube的GUI将Roundcube连接到我们的数据库。在我们能够做到这一点之前,我们需要告诉Apache Roundcube在哪里可以加载网站。...mysql> mysql -u roundcube -p roundcubemail < /var/www/roundcube/SQL/mysql.initial.sql 系统将提示您输入roundcube...然后我们准备告诉Roundcube我们的电子邮件设置并完成安装。 第5步 - 配置Roundcube 如前所述,如果您现在尝试访问Roundcube安装,您将收到错误页面。
一个值得一提的 GnuCash 可选替代品是 KMyMoney,它也得到了该列表的提名,是另一个在 Linux 上管理财务的好选择。 Kodi ?...尽管今年我们没有深入地报道 Kodi, 但依旧出现在许多关于创建一个家用 Linux 音乐服务器、媒体管理工具的文章中,还出现在之前的一个关于最喜爱的开源视频播放器的投票中(如果你在家中使用 Kodi,...Roundcube Roundcube 是一个现代化、基于浏览器的邮件客户端,它提供了邮箱用户使用桌面客户端时可能用到的许多(如果不是全部)功能。...Roundcube 可以作为许多用户的邮件客户端的偶尔的替代品工作。 在我们的 Gmail的开源替代品 综述中, Roundcube 和另外四个邮件客户端均被包含在内。...其以 GPLv3 许可证发布,你可以在 GitHub 上找到 Roundcube 的源代码。
(BUT 还是被人申请下来了:CVE-2014-1433) roundcube webmail官网:http://roundcube.net/,下载最新版本。.../program/lib/Roundcube/rcube_washtml.php ,这文件实际上是一个富文本过滤类class rcube_washtml。...roundcube就是利用这个类对富文本进行过滤。 先大概看一下,我知道了这个类的特点: 用DOM对换入的HTML做解析,取出所有标签、相应属性的键和值。 利用白名单,只保留允许存在的标签和属性。...很大一点不同就是,roundcube对HTML进行拼接,拼接的过程中如果处理不好引号,很容易导致属性“值”越出引号范围,变成一个新的“属性”,比如onerror。 好,我们看到246行, <?...http://trac.roundcube.net/ticket/1490227 http://trac.roundcube.net/changeset/786aa0725/github
文章目录 隐藏 第一、Roundcube 第二、phpList 第三、WebMail Lite 第四、SquirrelMail 第五、RainLoop Webmail...第六、OpenNewsletter 第七、Postfix Admin 第一、Roundcube Roundcube Webmail是基于浏览器的多语言IMAP客户端,具有类似于应用程序的用户界面
X-Sender: info@orcspain.es User-Agent: Roundcube Webmail/1.3.8 X-AntiAbuse: This header was added to...Message-ID: X-Sender: ecomm@leviton.com User-Agent: Roundcube...3.都利用Roundcube Webmail/1.3.8软件用于群发邮件,并且发送时间间隔很短。...邮件接收服务器则是采用Dovecot, Dovecot是一个开源的 IMAP 和 POP3 邮件服务器,支持 Linux/Unix 系统。
在 /(根)分区上启用配额 通常您会在 /etc/fstab 文件中启用配额,但如果文件系统是根文件系统“/”,则必须通过 Linux 内核的引导参数启用配额。...编辑 grub 配置文件: nano /etc/default/grub 搜索以GRUB_CMDLINE_LINUX开头的行,并将rootflags=uquota,gquota添加到命令行参数,使结果行如下所示...: GRUB_CMDLINE_LINUX="crashkernel=auto resume=/dev/mapper/cl-swap rd.lvm.lv=cl/root rd.lvm.lv=cl/swap...21 安装 Roundcube 网络邮件 要安装 RoundCube webmail 客户端,请使用 wget 将最新版本下载到 /tmp 文件夹: cd /tmp wget https://github.com.../roundcube/roundcubemail/releases/download/1.4.3/roundcubemail-1.4.3-complete.tar.gz 解压 tar.gz 存档并将 RoundCube
禁用WEB收发功能(DISABLE_ROUNDCUBE=TRUE),可以进一步减少资源占用,不过非必要不建议禁止。 使用脚本时,请注意修改里面的域名和存储路径。...Shanghai" \ --env "DISABLE_CLAMAV=TRUE" \ --env "DISABLE_RSPAMD=FALSE" \ --env "DISABLE_ROUNDCUBE
其实答案呼之欲出了——和Roundcube的RCE类似,mail函数的第五个参数,传命令参数的地方没有进行转义。...回顾一下当时Roundcube的漏洞:因为mail函数最终是调用的系统的sendmail进行邮件发送,而sendmail支持-X参数,通过这个参数可以将日志写入指定文件。...https://github.com/PHPMailer/PHPMailer cd PHPMailer git checkout -b CVE-2016-10033 v5.2.17 单步调试可以发现确实和之前Roundcube...word=roundcube )一样,是传给mail函数的第五个参数没有正确过滤: ? 但上图是错的,因为这里是不支持bash的一些语法的,也就是说反引号、${IFS}都是无效的。...但实际上PHPMailer在调用mailPassthru前会对email进行一定的检测,这导致我们无法构造出像Roundcube那些可以直接写文件的payload,检测部分的代码如下: <?
主要采用Nessus工具开展此项服务工作,Nessus是一种典型的基于客户/服务器结构的网络扫描系统,Nessus服务器程序可以运行在各种类UNIX平台上,包括FreeBSD、Linux、Solaris...附:部分最新与邮箱安全有关的漏洞 CVE-2017-12628 Symantec Mail Security for SMTP响应处理拒绝服务漏洞 CVE-2016-9920 Roundcube steps
并且该功能可以集成到以下cms程序中: Django Drupal Laravel Roundcube Symfony Tiki Wiki WordPress XOOPS Yii Zenphoto 缺点就是前后端不分离
有时对我有用的是像 Thunderbird 这样的完整客户端,有时是像 Mutt这样的控制台客户端,有时是像 Gmail 和 RoundCube 这样基于 Web 的界面。
这些攻击利用带有附件的电子邮件,以及开源Roundcube网络邮件软件的多个漏洞(CVE-2020-12641,CVE-2020-35730和CVE-2021-44026)来进行侦察和数据收集。
DKIM、DMARC、SRS 的原生实现,带有简单的向导 用于检测木马、病毒、恶意软件的防病毒引擎 ( ClamAV ) 内置垃圾邮件过滤器( RSPAMD ) HTTPS 上的Webmail 客户端(Roundcube...准备工作 一台VPS,有独立IP 支持25端口及邮件发送 建议内存2Gb以上 干净的IP,没有被墙,没有被标记为垃圾IP 提前安装好Docker 关于Docker安装可参考这篇文章《Linux安装Docker
Linux 文件系统 目录 说明 bin 存放二进制可执行文件 sbin 存放二进制可执行文件,只有 root 才能访问 boot 存放用于系统引导时使用的各种文件 dev 用于存放设备文件 etc...是超级管理员 localhost 表示主机名 ~ 表示当前目录(家目录),其中超级管理员家目录为 /root,普通用户家目录为 /home/chan $ 表示普通用户提示符,# 表示超级管理员提示符 Linux...test.tar.gz 文件搜索命令 locate:在后台数据库搜索文件 updatedb:更新后台数据库 whereis:搜索系统命令所在位置 which:搜索命令所在路径及别名 find:搜索文件或文件夹 用户和组 Linux
3、php 没有安装 pcre(no default) 4、safe_mode = false(default) 漏洞和这个差不多 http://blog.knownsec.com/2016/12/roundcube
四、拼接标签和属性的时候,防止双引号越出,成为新标签 我曾经在Roundcube Webmail中找到一个XSS漏洞(CVE-2015-1433),导致原因就是因为白名单检测完毕后再拼接html标签和属性的时候没有过滤双引号
领取专属 10元无门槛券
手把手带您无忧上云
