EMLOG最新敏感信息泄漏漏洞

  • 内容
  • 相关
/admin/index.php

1.png

如上图,我们只要构造如下的URL:


http://www.9bwl.com/admin/index.php?action=phpinfo

直接访问:

测试我的博客如下图

aaa.png

触发条件:

需要登陆(至少是网站的会员/作者权限)


处理方法:

1.此处获取phpinfo的信息应该是网站后台需要的,我们把这个函数(上图红线方框内代码)删除即可;

2.限制权限(仅允许管理员),则修改为如下代码:

//phpinfo()  
if ($action == 'phpinfo') {  
    if (ROLE == ROLE_ADMIN){  
        @phpinfo() OR emMsg("phpinfo函数被禁用!");  
    }  
    else{  
        emMsg('权限不足!','./');  
    }  
}  

1 (2).png



本文标签:

版权声明:若无特殊注明,本文皆为《花落》原创,转载请保留文章出处。

本文链接:EMLOG最新敏感信息泄漏漏洞 - http://www.9bwl.com/post-122.html

收录状态: [百度已收录√]  [360未收录×]  [搜狗已收录√]

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注

sitemap
00:00 / 00:00
顺序播放