联想某站点任意文件上传与下载漏洞可读取服务-自学php网

主页 > 后端 > 网站安全 >

联想某站点任意文件上传与下载漏洞可读取服务

来源：自学PHP网时间：2015-04-17 10:16 作者：阅读:次

[导读] 存在问题的站点：http: legc lenovo com 1 上传头像处对过滤不严导致可上传任意文件：2 好在上传的文件和web应用进行了分离无法直接利用，但是这样却导致了另外一个问题，任意文件下载，...

存在问题的站点：http://legc.lenovo.com/

1.上传头像处对过滤不严导致可上传任意文件：

2.好在上传的文件和web应用进行了分离无法直接利用，但是这样却导致了另外一个问题，任意文件下载，上传数据后，我们抓到这样一个请求；

3.于是我们传入这样一个参数“/etc/passwd”;

http://legc.lenovo.com/lefactory/static-content?contentPath=/etc/passwd

联想某站点任意用户密码+资料修改(权限限制不严

边锋旗下某站存在盲注漏洞(修复机制绕过) - 网

最新评论

加载更多~~

添加评论

更多文章推荐

IE utf7-BOM XSS漏洞 - 网站安全 - 自学php 2015-04-17
xcar极品存储xss一枚 - 网站安全 - 自学php 2015-04-17
MySQL堆积查询的与SQL注入 - 网站安全 - 自学php 2015-04-17
Discuz! X2 SQL注射漏洞，支持Union(含修复) - 网站安 2015-04-17
没有密码也进共享文件夹 - Windows操作系统 - 自学 2015-04-17
wordpress Diary/Notebook主题邮件欺骗漏洞 - 网站安全 2015-04-17
用XP SP2仿真2003远程多用户登录 - Windows操作系统 2015-04-17
Discuz! X3.1 Release 20140301后台拿shell真的修复了吗 2015-04-16
Win2000 下安装JSP程序支持 - Windows操作系统 - 自学 2015-04-17
卸载不知道密码的symantec赛门铁克 - Windows操作系 2015-04-17

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习，以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明：本站所有视频，教程都由网友上传，站长收集和分享给大家学习使用，如由牵扯版权问题请联系站长邮箱904561283@qq.com



添加评论