网御星云-网页防篡改系统古老版本多个漏洞

漏洞复现

登录页面如下：

弱口令：

super(超级管理员)admin(系统管理员)operator(操作员)viewer(审查员)密码都是：Admin%100

未授权信息泄露：

报错界面暴露接口地址

URL+/API/

账号信息泄露

URL+/API/user/list

系统信息泄露

URL+/API/system_info/list

还可以进行目录遍历：

URL+/doc/
URL+/images/
URL+/audio/
URL+/fonts/

最后再说一下漏洞文库已经添加授权访问，地址:wiki.xypbk.com

获取授权方式为公众号后台回复：文库授权

    为防止黑产份子的非法利用漏洞，不给国家安全添麻烦，本站从此开启授权访问，形式以每人单独授权发放，限量1000人，请勿分享您获取的账号密码，账号密码具都采用随机生成的32位MD5，还请牢记。

    如若因漏洞利用产生重大影响，会根据登录IP、请求内容、申请授权等信息进行查证，查证后将对号主进行追责，故不要分享账号，终害己身。

    虽然比较麻烦了些，但会稍微对黑产份子有一些限制，保证了本站安全，也保证国家安全。同时有些敏感东西也能第一时间放出来了，还请大家谅解。

    同时本站承诺永远不会出现买卖账号等利益相关的事情，本站永不割韭菜，永久免费检索，坚决抵制安全圈的歪风邪气。

    最后，若大家对此有意见请后台留言，本站将及时改正，若内容有侵犯您的权益，请及时提出，进行删除处理。

    本站能坚持多久全看大家是否滥用，内容若更新较慢也请谅解，本人有工作有生活，会尽量坚持更新的。

本站不开源，因为想控制影响范围，若因某些人乱搞，造成了严重后果，本站将即刻关闭。

漏洞库内容来源于互联网&&零组文库&&peiqi文库&&自挖漏洞&&乐于分享的师傅，供大家方便检索，绝无任何利益。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

若有愿意分享自挖漏洞的佬师傅请公众号后台留言，本站将把您供上，并在此署名，天天烧香那种！

扫取二维码获取

更多精彩

Qingy之安全

点个在看你最好看

本文始发于微信公众号（Qingy之安全）：网御星云-网页防篡改系统古老版本多个漏洞