大智慧手机版官方漏洞存在以下漏洞:
1.SQL注入
2.默认后台ADMIN目录
3.FCKeditor可上传webshell提权
以上3点仅是发现问题,涛涛电脑知识网,未做拿webshell操作。
漏洞证明:
1.注入点:?typeid=1560
2.默认后台目录/admin/
3.fckeditor
?Type=Image&Connector=http%3A%2F%2Fmo.gw.com.cn%2Fadmin%2Feditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php
修复方案:
建议如下:
1.过滤sql注入
2.修改后台路径
3.配置fckeditor目录验证用户后才可访问。
作者 Lmy