关注我们

Emlog暴力破解后台漏洞修复

LzersLzers 安全文摘 2018-11-10 276731 0

漏洞简介:

Emlog系统默认后台登陆地址为http://域名/admin/login.php

而后台登陆时,错误情况下,验证码未刷新,导致可暴力破解登陆管理员账号

低危漏洞,但是在emlog5.3.1和6.0测试版本均存在

漏洞成因:

Emlog暴力破解后台漏洞修复

已知管理员用户名为:admin(可在前端文章页寻找作者用户名)

Emlog暴力破解后台漏洞修复

随便输入admin admin123 qdiwx,点击登陆

然后burpsuite抓包

Emlog暴力破解后台漏洞修复

    

Emlog暴力破解后台漏洞修复

成功爆破出密码,所以再次验证:验证码没消除会话,导致可暴力破解漏洞的存在

解决办法:

在/admin/globals.php文件中增加代码:

unset($_SESSION['code']);

Emlog暴力破解后台漏洞修复

版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢0发布评论

评论列表

发表评论

  • 昵称(必填)
  • 邮箱
  • 网址