记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

布丁某系统未授权访问可导致敏感信息泄漏

2014-05-02 23:15

1).发现商家管理系统下的一个html页面;

http://s.buding.cn/admin/templets/sider.htm



8.jpg





2)页面泄漏了一些请求链接,如:

9.jpg





3)直接访问请求会跳转到系统的登陆页面,但是在一番测试后发现通过http editor可以直接访问这些页面;

1.jpg



2.jpg





4)测试中修改一个管理用户的密码,然后直接登陆系统;

3.jpg



6.jpg





5)在后台下面的页面发现存在sql注射漏洞,库还挺多的;

5.jpg



4.jpg





PS:未进一步测试,求个礼物 :)

漏洞证明:

见详细说明

修复方案:


知识来源: www.wooyun.org/bugs/wooyun-2014-053975

阅读:111346 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“布丁某系统未授权访问可导致敏感信息泄漏”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁