HIWEB是一套整站管理系统,很多学校在用这个来搭站。但是此cms后台存在多处权限绕过的问题。
1. http://xxxx/hiwebcms/system/USER/
可以直接看到所有后台用户信息
2. http://xxxx/hiwebcms/system/sysSetup/filesManage.htm
可以查看所有上传的文件,匿名用户也可以上传文件。
3. http://xxxx/hiwebcms/system/sysSetup/sysSetup.htm
可以查看cms的部分配置
4. http://xxxx/hiwebcms/system/USER/userConfig.htm
查看 数据库 中部分表结构
可以直接看到所有后台用户信息
可以查看所有上传的文件,匿名用户也可以上传文件。
可以查看cms的部分配置
查看数据库中部分表结构
修复方案:
不会
查看更多关于hiweb cms后台多出权限绕过 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14563