登陆 注册

emlog敏感信息泄漏漏洞

WySec 2018-06-14
黑白网(heibai.org)成立于2014年,多年来以其专业的视角,优质的服务为广大安全技术爱好者提供了目前国内最全的网络安全技术学习资料,普及中国网络安全知识,宣扬正确的黑客极客文化,全方面提高国内安全技术水平。

漏洞类型:轻微,极为鸡肋。

漏洞名称:phpinfo暴露敏感信息,

漏洞形成:/admin/index.php最后一行

//phpinfo()  if ($action == 'phpinfo') {  @phpinfo() OR emMsg("phpinfo函数被禁用!");  }

[mochulog]触发条件:需要登陆(至少是网站的会员/作者权限)

漏洞复现:登录状态后访问http://xxx.xxx/admin/index.php?action=phpinfo

emlog敏感信息泄漏漏洞 emlog敏感信息泄漏漏洞 安全测试

漏洞修复:添加代码如下

//phpinfo()    if ($action == 'phpinfo') {        if (ROLE == ROLE_ADMIN){            @phpinfo() OR emMsg("phpinfo函数被禁用!");        }        else{            emMsg('权限不足!','./');        }    }

[/mochulog]

生成海报
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.