风讯网站内容管理系统漏洞

风讯网站内容管理系统漏洞

作者：上帝的禁区

风讯网站管理系统是一个现在比较流行的和动易齐名的一个在线编辑系统.

最出名的是其采集系统是一个很好的管理程序,而且在3.0以上的版本加上了密码保护.就算得到数据库也不能进入后台.

不过由于风讯网站管理系统的users/Editer/SelectPic.asp文件过滤不严,造成用户可以浏览整站文件.

测试方法：users/Editer/SelectPic.asp?LimitUpFileFlag=&CurrPath=/Files/../bbs/data

此方法在目前所有版本中得到确认,其官方站删除了此文件,临时解决办法：删除users/Editer/SelectPic.asp文件

（虽然下载了他的数据库没用但是，下载了其他的数据库就有用了,比如说我现在指向的动网的数据库目录）

注：此漏洞发现后没通知还没通知管理员

如果觉得此文有不适当的地方，请暂时不要发表