### 简要描述:
测试版本:V1.3
匿名用户可越权看到部分在后台才能看到的内容,造成严重的信息泄露。
### 详细说明:
该套程序直接从URL中获取需要渲染的视图文件名,而未做合法性检查。导致匿名用户可以渲染后台视图文件,虽然不能对数据进行操作,但是会造成比较严重的敏感信息泄露。
### 漏洞证明:
/framework/web/controller/controller_class.php中渲染文件视图的相关代码
[<img src="https://images.seebug.org/upload/201503/311334462b948bb71ab782d8aca1dd5a7c640c49.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/311334462b948bb71ab782d8aca1dd5a7c640c49.jpg)
通过不断改变act的值,观察输出。
[<img src="https://images.seebug.org/upload/201503/31133510435d809717a20008b383eaf46121043c.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/31133510435d809717a20008b383eaf46121043c.jpg)
可以得出结论,act的值即视图文件名。那么,如果改成后台目录下的视图,会得到什么结果呢?
以官方演示站为例,输出了管理员用户名。
[<img src="https://images.seebug.org/upload/201503/31133550f02e5184c42d0e3cdb4db406024f61ff.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/31133550f02e5184c42d0e3cdb4db406024f61ff.jpg)
输出操作日志列表,这里同时也会泄露备份过的数据库文件名,在data/database目录下,可以直接下载。
[<img src="https://images.seebug.org/upload/201503/3113362014ee37790b9c14dabc38fe06187b2775.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201503/3113362014ee37790b9c14dabc38fe06187b2775.jpg)
京公网安备 11010502034610号
暂无评论