关注我们

emlog敏感信息泄漏漏洞

a1d4ma1d4m 安全测试 4个月前 82642 0

漏洞类型:轻微,极为鸡肋。

漏洞名称:phpinfo暴露敏感信息,

漏洞形成:/admin/index.php最后一行

//phpinfo()
if ($action == 'phpinfo') {
@phpinfo() OR emMsg("phpinfo函数被禁用!");
}

[mochulog]触发条件:需要登陆(至少是网站的会员/作者权限)

漏洞复现:登录状态后访问http://xxx.xxx/admin/index.php?action=phpinfo

emlog敏感信息泄漏漏洞

漏洞修复:添加代码如下

//phpinfo()  
if ($action == 'phpinfo') {  
    if (ROLE == ROLE_ADMIN){  
        @phpinfo() OR emMsg("phpinfo函数被禁用!");  
    }  
    else{  
        emMsg('权限不足!','./');  
    }  
}

[/mochulog]

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除
E-Mail:server@heibai.org
黑白网官群:238921584

喜欢1评论已闭