凤凰网的中医频道
http://zhongyi.ifeng.com/
登录后访问头像修改功能
抓包,改后缀后即可成功上传shell
漏洞证明:
数据库
本地数据库
大量用户数据,密码明文保存
上传白名单
用户密码加密存储
凤凰网的中医频道
http://zhongyi.ifeng.com/
登录后访问头像修改功能
抓包,改后缀后即可成功上传shell
漏洞证明:
数据库
本地数据库
大量用户数据,密码明文保存
上传白名单
用户密码加密存储
阅读:72901 | 评论:0 | 标签:漏洞