1月
29
HDwiki管理员可以直接添加超级管理员引发的问题
发现HDwiki 挺可怕的一处逻辑漏洞,管理员可以直接添加一个超级管理员账号,而超级管理员具有后台文件管理和数据库管理的权限… 如图,用户demo头衔为管理员: 添加用户时,有超级管理员选项: 可怕的是居然可以添加成功: 添加成功后: 这样管理员账号轻易的取得了超级管理员的权限,然后就可以直接在后台进行文件和数据库操作: 数据库备份操作: … Continue reading
发现HDwiki 挺可怕的一处逻辑漏洞,管理员可以直接添加一个超级管理员账号,而超级管理员具有后台文件管理和数据库管理的权限… 如图,用户demo头衔为管理员: 添加用户时,有超级管理员选项: 可怕的是居然可以添加成功: 添加成功后: 这样管理员账号轻易的取得了超级管理员的权限,然后就可以直接在后台进行文件和数据库操作: 数据库备份操作: … Continue reading