频道栏目
首页 > 资讯 > 安全公告 > 正文

siteserver cms管理员找回密码功能存在重大缺陷

2014-01-07 23:53:05      个评论      
收藏   我要投稿
siteserver cms管理员密码找回逻辑存在漏洞,可直接绕过获取管理员密码

管理员的“密码找回问题答案”为非强制项,一般都留空。

 

此时如果在密码找回页面,输入空密码找回答案,就可以获得当前管理员的密码明文(页面有做javascript限制答案长度不能为0,但禁用javascript即可绕过)

 

访问/forgetPassword.aspx

然后禁止Javascript。输入用户名,获取密码

 

全版本通杀,这样基本上网络上所有使用siteserver的网站管理员密码都泄露了

 

上一篇:警惕字符编码钓鱼的利用
下一篇:警报:Struts2再次被曝出命令执行漏洞
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站