来源:自学PHP网 时间:2015-04-15 14:59 作者: 阅读:次
[导读] trs某商业系统多个漏洞集合 包括信息泄露 xss 未授权访问等trs was40产品存在多个安全漏洞1 未授权访问直接访问was40 tree可以看到一些后台功能2 信息泄露访问was40 passwd passwd htm输入一个不...
|
trs某商业系统多个漏洞集合 包括信息泄露 xss 未授权访问等
trs was40产品存在多个安全漏洞
1.未授权访问
直接访问was40/tree可以看到一些后台功能
2.信息泄露
访问was40/passwd/passwd.htm
输入一个不存在的用户名会暴露出服务器内网IP地址 同时存在暴力破解用户密码的可能性。
3.未授权发布信息+xss
编辑信息的时候未对提交的数据进行过滤,同时存在未对用户是否登录进行验证
4. 部分用户系统存在system/manager
若邮件系统等未对cookie的域做限制,该xss漏洞会带来更大的影响。
修复方案:
对was40部分文件添加权限检查 对用户提交数据进行过滤
根据业务需要 删除系统自带的demo页面和数据
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
