首先 SEBUG 管理人员在采用不成熟的 开源web程序 时 没有对开源程序代码进行 审计 导致其安全问题的存在。 问题根源存在于 Anwsion 0.7 以下的所有版本 而 SEBUG 问答社区所使用的版本是 Anwsion_0-6 Beta 1d 。 由于 Anwsion 旧版本在开发过程中没有添加用户组权限功能 导致后台普通用户能直接访问 并能修改所有数据。 顺便提下 最近 SEBUG 推出了一款 扫描器 如此注重安全的一个站点为何忽视了一个开源程序的 安全 。 注册会员 登陆社区 访问 http://sa.sebug.net/account/login/
登陆后跳转到,后台登陆界面,再次输入用户账户。 成功进入后台,此时能任意更改网站任何数据,如果想获取管理权限,直接修改管理邮箱,通过密码找回功能即可获得管理员权限。
对于后台左侧的导航栏无法显示问题,可以通过本地架设个同版本的Anwsion网站程序,访问后台,复制导航栏功能地址即可。
1 如网站设置地址 系统设置相关功能可以通过如下地址访问
3 系统设置 http://sa.sebug.net/admin/setting/setting/
4 问题管理 http://sa.sebug.net/admin/question/list/
5 分类管理 http://sa.sebug.net/admin/category/list/
6 话题管理 http://sa.sebug.net/admin/topic/list/
7 在线用户 http://sa.sebug.net/admin/user/online_list/
8 会员管理 http://sa.sebug.net/admin/user/list/
9 缓存管理 http://sa.sebug.net/admin/maintain/cache/
然后利用 Anwsion后台功能设计缺陷可获得SHELL 。 详见 : http://HdhCmsTest2cto测试数据/Article/201208/151117.html
查看更多关于SeBug问答分站未授权访问 致普通用户直接进入后的详细内容...