大智慧手机版官方SQL注入及默认后台,编辑器上传

大智慧手机版官方漏洞存在以下漏洞： 1.SQL注入 2.默认后台ADMIN目录 3.FCKeditor可上传webshell提权

以上3点仅是发现问题，未做拿webshell操作。 漏洞证明： 1.注入点：http://mo.gw.com.cn/type.php?typeid=1560

   

2.默认后台目录/admin/ http://mo.gw.com.cn/admin/

www.2cto.com 3.fckeditor http://mo.gw.com.cn/admin/editor/editor/filemanager/browser/default/browser. html ?Type=Image&Connector=http%3A%2F%2Fmo.gw.com.cn%2Fadmin%2Feditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php 修复方案： 建议如下： 1.过滤sql注入 2.修改后台路径 3.配置fckeditor目录验证用户后才可访问。 作者 Lmy

查看更多关于大智慧手机版官方SQL注入及默认后台,编辑器上传的详细内容...