漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-052404
漏洞标题:菩萨在线后台未授权访问
相关厂商:pusa123.com
漏洞作者: geekice
提交时间:2014-03-12 10:53
修复时间:2014-04-26 10:53
公开时间:2014-04-26 10:53
漏洞类型:账户体系控制不严
危害等级:中
自评Rank:6
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-12: 细节已通知厂商并且等待厂商处理中
2014-03-12: 厂商已经确认,细节仅向厂商公开
2014-03-22: 细节向核心白帽子及相关领域专家公开
2014-04-01: 细节向普通白帽子公开
2014-04-11: 细节向实习白帽子公开
2014-04-26: 细节向公众公开
简要描述:
可以随便绕过登录验证、直达数据页面。
详细说明:
浏览器禁止js后、下列页面全部可以访问
2012syds_view.php
usermodifydo.php
getuseronlie.php
smsearchlist.php
TouXiang.php
tixianreninfo070201.php
s.php
rthird.php
sdtest.php
fssearch.php
reg_search_fenxi.php
usersearchlist.php
getsilver.php
fspession.php
dengjihoutai.php
tx.php
dengjihoutai_renshu.php
usersearch.php
漏洞证明:
查看服务器、在线人数
其他文件包括用户查询、用户修改、公司进账,分账查询。
修复方案:
修改上面所列页面的登录认证系统。
版权声明:转载请注明来源 geekice@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2014-03-12 12:04
厂商回复:
由于程序员的疏忽留下了隐患,谢谢WOOYUN,谢谢geekice
最新状态:
暂无