关注我们

EMLOG博客系统存在暴力破解漏洞

LzersLzers 安全文摘 2018-04-07 671657 0

漏洞简介:
Emlog博客系统默认后台登陆地址为http://域名/admin/login.php
而后台登陆时,错误情况下,验证码未刷新,导致可暴力破解登陆管理员账号
低危漏洞,但是在emlog5.3.1和6.0测试版本均存在
 
漏洞成因:

EMLOG博客系统存在暴力破解漏洞

已知管理员用户名为:admin(可在前端文章页寻找作者用户名)

EMLOG博客系统存在暴力破解漏洞

随便输入admin admin123 qdiwx,点击登陆
然后burpsuite抓包


EMLOG博客系统存在暴力破解漏洞

EMLOG博客系统存在暴力破解漏洞

成功爆破出密码,所以再次验证:验证码没消除会话,导致可暴力破解漏洞的存在
 
解决办法:
在/admin/globals.php文件中修改:

EMLOG博客系统存在暴力破解漏洞

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢1评论已闭