网络创业者 2007-9-25 16:58
风讯网站内容管理系统漏洞
风讯网站管理系统是一个现在比较流行的
和动易齐名的一个在线编辑系统
最出名的是其采集系统
是一个很好的管理程序
而且在3.0以上的版本加上了密码保护
就算得到[WIKI]数据库[/wiki]也不能进入[wiki]后台[/wiki]
不过由于风讯网站管理系统的users/Ed[wiki]IT[/wiki]er/SelectPic.A[wiki]SP[/wiki]文件过滤不严
造成用户可以浏览整站文件
测试方法:users/Editer/SelectPic.[wiki]ASP[/wiki]?LimitUpFileFlag=&CurrPath=/Files/../bbs/data
此方法在目前所有版本中得到确认
其官方站删除了此文件
临时解决办法:删除users/Editer/SelectPic.asp文件
(虽然下载了他的数据库没用
但是,下载了其他的数据库就有用了
比如说我现在指向的动网的数据库目录)
注:此漏洞发现后没通知还没通知管理员
如果觉得此文有不适当的地方,请暂时不要发表