软件介绍 海纳(Hitux)个人博客通过该系统建立您的博客或者是个人网站将变得轻而易举。不需要具备多么 专业的网页设计知识,不需要对程序有多熟悉,仅仅下载海纳个人博客的源码上传到您申请的空间里 ,即生成了您的网站。接下来您要做的只是对网站的更新,写一篇文章,或是上传一张图片。将更多 的精力用在宣传您的网站上,而不是建立网站。 漏洞文件: inc/access.asp 片段: <% 'chk session If Session("log_name")="" Then Session.abandon %> www.2cto.com <script language=JavaScript> top.location = "login. asp "; </script> <% End If %> 程序整体都不错。只是这样的验证,真的有点蛋疼。 利用:在IE属性里将安全级别调到最高即可。(似乎还可以欺骗呢) 脚本禁用后,就可以浏览后台任何文件了。 添加管理员: admincool/admin_add.asp 上传文件设置: admincool/file_setup.asp 上传文件: admincool/file_upload.asp 拿shell的地方很多,大家自己研究。 修复: 跳转还是用Response.Redirect() 吧 简单修改如下: <% 'chk session If Session("log_name")="" Then Response.Redirect("login.asp") End If %> from www.0855.t v by Mr.DzY
查看更多关于海纳个人博客系统后台认证绕过漏洞及修复 - 网的详细内容...