漏洞标题 优酷后台系统过度授权访问/遍历操作 相关制造商 优酷 漏洞作者 Aasron 提交时间 2016-05-01 08: 09 公共时间 2016-06-16 18: 10 漏洞类型 未经授权的访问/许可绕过 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 敏感接口没有权限验证,未经授权的操作,未经授权的访问 漏洞详细信息 我看到有人挖过这个网站的后端,所以我测试了它。 http://project.youku.com/minisite/admin/index.php 修复弱密码问题,切密码强度应该不错
输入为访客 得到一条路 http://project.youku.com/minisite/admin/module_info.php?mid=2 mid参数是模块配置参数 漏洞证明:
遍历mid参数以执行操作
可以查看案例地址
修理计划: ASD 版权声明:请注明出处Aasron @乌云