【摘要】Emlog是一款个人博客系统,使用的人还是非常多的,小巧方便,对于个人站长来说是一个建站的不错选择。今天要公布一个危害轻微的漏洞:phpinfo暴露敏感信息其实这个漏洞也不算什么吧,以后视情况(得到官方授权后)公布一些高危的漏洞,也欢迎大...
Emlog是一款个人博客系统,使用的人还是非常多的,小巧方便,对于个人站长来说是一个建站的不错选择。今天要公布一个危害轻微的漏洞:phpinfo暴露敏感信息
其实这个漏洞也不算什么吧,以后视情况(得到官方授权后)公布一些高危的漏洞,也欢迎大家持续关注DYBOY的博客。
闲话不多说,首先看看漏洞出现的位置:
phpinfo暴露敏感信息
如上图,我们只要构造如下的URL:
http://www.test.com:81/admin/index.php?action=phpinfo
直接访问:
访问出现phpinfo
漏洞触发条件:
1.需要登陆(至少是网站的会员/作者权限)
解决方法:
1.此处获取phpinfo的信息应该是网站后台需要的,我们把这个函数(上图红线方框内代码)删除即可;
2.限制权限(仅允许管理员),则修改为如下代码:
//phpinfo()if ($action == 'phpinfo') {if (ROLE == ROLE_ADMIN){@phpinfo() OR emMsg("phpinfo函数被禁用!");}else{emMsg('权限不足!','./');}}
温馨提示:
1.本站大部分内容均收集于网络!若内容若侵犯到您的权益,请发送邮件至:duhaomu@163.com,我们将第一时间处理!
2.资源所需价格并非资源售卖价格,是收集、整理、编辑详情以及本站运营的适当补贴,并且本站不提供任何免费技术支持。
3.所有资源仅限于参考和学习,版权归原作者所有,更多请阅读网站声明。
1.本站大部分内容均收集于网络!若内容若侵犯到您的权益,请发送邮件至:duhaomu@163.com,我们将第一时间处理!
2.资源所需价格并非资源售卖价格,是收集、整理、编辑详情以及本站运营的适当补贴,并且本站不提供任何免费技术支持。
3.所有资源仅限于参考和学习,版权归原作者所有,更多请阅读网站声明。
