漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0115088
漏洞标题:职航在线任意上传漏洞
相关厂商:职航在线
漏洞作者: 路人甲
提交时间:2015-05-20 12:36
修复时间:2015-07-04 12:38
公开时间:2015-07-04 12:38
漏洞类型:
危害等级:低
自评Rank:3
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-04: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
头像,文档,任意上传文件。各种大马小马来来来。
详细说明:
在这个网页上http://nju.fitoo.com/Match/jiangsu/apply.aspx随意注册一个账号(邮箱验证),信息随便填写,那就用强大的163邮箱呗。
链接可以看出加了地址识别功能,知道在哪个地方。
接下随便注册了,这个验证机制就是对学号中的特殊字符做了限制功能,其他随意。
然后随便上传文件参加所谓的比赛啦,我就会这个,来来来,服务器在召唤你。
漏洞证明:
然后随便上传文件参加所谓的比赛啦,我就会这个,来来来,服务器在召唤你。
竟然上传成功了,但是不知道如何找到这个文件,找其他亮点吧。
竟然上传成功了,但是不知道如何找到这个文件,找其他亮点吧。
bingo,excellent!!!
数据库没连接上,甚是郁闷!!!,就到这吧。
修复方案:
对格式进行验证
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝