• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    大智慧手机版官方SQL注入及默认后台,编辑器上传漏洞

    时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

    大智慧手机版官方漏洞存在以下漏洞:
    1.SQL注入
    2.默认后台ADMIN目录
    3.FCKeditor可上传webshell提权

    以上3点仅是发现问题,涛涛电脑知识网,未做拿webshell操作。
    漏洞证明:
    1.注入点:?typeid=1560

     


     


    2.默认后台目录/admin/


    3.fckeditor
    ?Type=Image&Connector=http%3A%2F%2Fmo.gw.com.cn%2Fadmin%2Feditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php
    修复方案:
    建议如下:
    1.过滤sql注入
    2.修改后台路径
    3.配置fckeditor目录验证用户后才可访问。
    作者 Lmy

    ,www.xuhantao.com

  • 上一篇:毛红亮个人网站管理系统v1.0.0含后门+注入+编辑器缺陷
  • 下一篇:智创网站专业级防火墙绕过
    • 相关文章
    • 没有相关文章
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1