漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
菩萨在线后台未授权访问
相关厂商:
漏洞作者:
提交时间:
2014-03-12 10:53
修复时间:
2014-04-26 10:53
公开时间:
2014-04-26 10:53
漏洞类型:
账户体系控制不严
危害等级:
中
自评Rank:
6
漏洞状态:
厂商已经确认
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2014-03-12: 细节已通知厂商并且等待厂商处理中
2014-03-12: 厂商已经确认,细节仅向厂商公开
2014-03-22: 细节向核心白帽子及相关领域专家公开
2014-04-01: 细节向普通白帽子公开
2014-04-11: 细节向实习白帽子公开
2014-04-26: 细节向公众公开
简要描述:
可以随便绕过登录验证、直达数据页面。
详细说明:
浏览器禁止js后、下列页面全部可以访问
2012syds_view.php
usermodifydo.php
getuseronlie.php
smsearchlist.php
TouXiang.php
tixianreninfo070201.php
s.php
rthird.php
sdtest.php
fssearch.php
reg_search_fenxi.php
usersearchlist.php
getsilver.php
fspession.php
dengjihoutai.php
tx.php
dengjihoutai_renshu.php
usersearch.php
漏洞证明:
查看服务器、在线人数
其他文件包括用户查询、用户修改、公司进账,分账查询。
修复方案:
修改上面所列页面的登录认证系统。
版权声明:转载请注明来源 geekice@乌云
>
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-03-12 12:04
厂商回复:
由于程序员的疏忽留下了隐患,谢谢WOOYUN,谢谢geekice
最新状态:
暂无