歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

永久網絡個人音樂盒LajoxBox v1.1最新上傳漏洞利用

來源:本站轉載 作者:佚名 時間:2010-05-01 TAG: 我要投稿

漏洞描述:
                  1.默認數據庫下載
                  2.后臺驗證不嚴格,存在上傳漏洞,可以提交asa馬
漏洞利用:

                 1.下載默認數據庫data/#music.asa ,將#號替換成%23即可下載。
                 2.http://www.hackqing.cn/admin/inc/fileuploadcls.asp 直接訪問,無登陸限制,通過上傳asa馬獲得webshell

修補方案:
                 1.更改默認數據庫名稱,加入特殊字符限制下載。

                  2.給admin目錄下文件加 cookies 或session驗證,并對上傳內容進行嚴格過濾,只允許上傳圖片格式文件。

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐