当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093731

漏洞标题:某建站系统后台通用未授权访问(可后台关闭网站)

相关厂商:企智网络

漏洞作者: jianFen

提交时间:2015-01-29 16:10

修复时间:2015-04-29 16:12

公开时间:2015-04-29 16:12

漏洞类型:非授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

算通用吧

详细说明:


1、漏洞类型:未授权访问后台
2、涉及版本:全版本
3、危害程度:高危
4、厂商网站:http://www.qizhinet.com/
5、安装量:中
6、是否默认配置:是
直接禁用JS就可以直接进入网站后台 (可以关闭网站)
列举一部分:

www.dglik.com/QzkeyAdmin/
zs-2-1410.qzkey.cn/qzkeyAdmin/
zs.jsbc.edu.cn/qzkeyadmin/
article.hmwhw.gov.cn/qzkeyadmin/
www.lishisp.com/qzkeyAdmin/
www.s-m-e.net/QzkeyAdmin/
www.biokau.com/qzkeyAdmin/
www.lvhuahb.com/QzkeyAdmin/
www.hnluoshi.com/qzkeyadmin/
www.gwjysh.com/qzkeyadmin/
www.easyrich.cn/QzkeyAdmin/
http://www.easyrich.cn/QzkeyAdmin/
http://www.zzyzjg.com/qzkeyAdmin/
http://www.hhggw.com/qzkeyadmin/
http://www.hdkunzhan.com/QzkeyAdmin/
http://www.jsthjsgc.com/qzkeyadmin/
http://www.info-speed.com.cn/qzkeyadmin/
http://www.chinablx.cn/QzkeyAdmin/
http://www.xzyfls-edu.com/qzkeyadmin/
http://www.taso-tip.com/QzkeyAdmin/


演示一下:

1.JPG


2.JPG


3.JPG


4.JPG


我立刻恢复了 并没有破坏

5.JPG


6.JPG


漏洞证明:

我立刻恢复了 并没有破坏

5.JPG


修复方案:

JS修改下把

版权声明:转载请注明来源 jianFen@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝