Jun 13 2014

siteserver cms管理员找回密码功能存在重大缺陷

首页 » 代码审计 » siteserver cms管理员找回密码功能存在重大缺陷   

简要描述:
siteserver cms管理员密码找回逻辑存在漏洞,可直接绕过获取管理员密码
详细说明:
管理员的“密码找回问题答案”为非强制项,一般都留空。

此时如果在密码找回页面,输入空密码找回答案,就可以获得当前管理员的密码明文(页面有做javascript限制答案长度不能为0,但禁用javascript即可绕过

访问http://www.0day5.com/siteserver/forgetPassword.aspx
然后禁止Javascript。输入用户名,获取密码

全版本通杀,这样基本上网络上所有使用siteserver的网站管理员密码都泄露了

如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: 代码审计 siteserver漏洞

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «siteserver最新版3.6.4 sql inject | siteserver3.6.4非常好用的xss盲打进后台可shell»

你肿么看?

你还可以输入 250/250 个字

微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~

友情链接:万达直属  万达娱乐主管QQ  guoqibee.com  万达娱乐直属  万达注册  万达娱乐开户  万达开户  万达主管QQ  万达直属QQ