B3log Solo查看任意用户密码 - 网站安全 - 自学php-自学php网

主页 > 后端 > 网站安全 >

B3log Solo查看任意用户密码 - 网站安全 - 自学php

来源：自学PHP网时间：2015-04-17 11:59 作者：阅读:次

[导读] B3log Solo后台一处未经合理权限验证的交互接口可查看任意用户信息，包括明文密码。目前官方最新Release 0.5.5受此漏洞影响，所有平台用户均有泄漏密码的威胁。漏洞地址：http://xxx/con...

B3log Solo后台一处未经合理权限验证的交互接口可查看任意用户信息，包括明文密码。目前官方最新Release 0.5.5受此漏洞影响，所有平台用户均有泄漏密码的威胁。

漏洞地址：http://xxx/console/user/[userId]

该接口用于查看用户信息，是管理员用户管理插件的接口。该接口只验证了用户是否登录，而未验证用户权限，虽然普通用户后台管理界面无显式链接，但是登录后可直接访问该地址获取信息。

修复方案：

1、改明文密码为密文。

2、增加权限验证。

关于基础验证钓鱼中文乱码的解决方法 - 网站安

DataLife Engine 9.7 (preview.php) PHP代码注射 - 网站安全

最新评论

加载更多~~

添加评论

更多文章推荐

一个不知名的系统上传漏洞 - 网站安全 - 自学p 2015-04-17
phpcms v9后台上传webshell - 网站安全 - 自学php 2015-04-17
暴风影音多处安全漏洞小礼包及修复（未授权访 2015-04-17
phpcms V9 存储XSS及修复方案 - 网站安全 - 自学php 2015-04-17
纯手工配置 IIS 6 下 FastCGI 的 PHP - Windows操作系统 2015-04-17
网站表单接收信息提交方式：Get与Post小讲 - 网站 2015-04-17
浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪 2015-04-17
coms密码无敌破解大法 - Windows操作系统 - 自学ph 2015-04-17
WordPress插件Foxypress uploadify.php任意代码执行 - 网站 2015-04-17
Win Server 2008挑战服务器新实用主义 - Windows操作系 2015-04-17

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论