暴风影音多处安全漏洞小礼包及修复（未授权访-自学php网

主页 > 后端 > 网站安全 >

暴风影音多处安全漏洞小礼包及修复（未授权访

来源：自学PHP网时间：2015-04-17 10:16 作者：阅读:次

[导读] 1，暴风影音某站账户体系控制不严导致可登陆他人账号2，两处目录遍历3，某CMS后台管理系统未授权访问，怀疑废弃 1问题出在暴风推广联盟地址：http: union baofeng com login用户user 密码1...

1，暴风影音某站账户体系控制不严导致可登陆他人账号

2，两处目录遍历

3，某CMS后台管理系统未授权访问，怀疑废弃

#1问题出在暴风推广联盟

地址：

http://union.baofeng.com/login

用户user 密码123456 登陆时抓包

以密码不变，对用户名username参数进行猜解

部分账号登陆截图

zou，

bai,

qiu,

peter,

philip,

patrick,

wilson,

#2目录遍历

http://119.188.128.7:8000/

可下载配置文件

http://119.188.128.28/

#3 CMS后台未授权访问

http://cdnlt.baofeng.com/

修复方案：

1，加强登陆接口的验证.

2，访问权限控制.

3，废弃的就删了吧.

珍品网任意进入他人账号（OAuth 2.0无绑定token）

php://input，php://filter，data URI schema的那些事 - 网

最新评论

加载更多~~

添加评论

更多文章推荐

Windows量身定做的登录管理工具 - Windows操作系统 2015-04-17
网络安全应用不求人故障与技巧集锦 - Windows操作 2015-04-17
你的WordPress博客容易被黑吗？ - 网站安全 - 自学 2015-04-17
DiscuzX1.5+ 道具刷分漏洞 - 网站安全 - 自学php 2015-04-17
建站之星用户中心设计不当可操作任意站点 - 网 2015-04-16
Tipask!2.0、1.4sql注入及修复 - 网站安全 - 自学php 2015-04-17
Bo-Blog v1.4单用户版分类列表文件读取漏洞+拿Web 2015-04-17
IIS6.0 中上传下载文件受到限制的解决方法 - Win 2015-04-17
新浪微博某处CSRF自动加关注漏洞 - 网站安全 - 自 2015-04-17
从六大方面为Windows XP提速(立杆见影) - Windows操作 2015-04-17

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论