关注我们

emlog敏感信息泄漏漏洞

网友投稿网友投稿 安全文摘 2018-06-14 304928 0

漏洞类型:轻微,极为鸡肋。

漏洞名称:phpinfo暴露敏感信息,

漏洞形成:/admin/index.php最后一行

//phpinfo()
if ($action == 'phpinfo') {
@phpinfo() OR emMsg("phpinfo函数被禁用!");
}

[mochulog]触发条件:需要登陆(至少是网站的会员/作者权限)

漏洞复现:登录状态后访问http://xxx.xxx/admin/index.php?action=phpinfo

emlog敏感信息泄漏漏洞

漏洞修复:添加代码如下

//phpinfo()  
if ($action == 'phpinfo') {  
    if (ROLE == ROLE_ADMIN){  
        @phpinfo() OR emMsg("phpinfo函数被禁用!");  
    }  
    else{  
        emMsg('权限不足!','./');  
    }  
}

[/mochulog]

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢1评论已闭