bug.center.team
bitrac個人部落格系統後台許可權提公升漏洞
影響版本:
bitrac內部測試版
程式介紹:
bitrac 內部測試版發布,bitrac 是基於 asp.net 2.0 + sqlite 的單使用者部落格程式,內建 urlrewrite 和頁面壓縮功能,支援 metaweblogapi,自寫的 html 模板引擎,方便修改風格,完全的視覺化編輯環境。目前是內測版本
漏洞分析:
在 control.ashx 中,
case "auttab":
new admauttab().outwrite();
return;
轉到函式
switch (sitefun.parseint(base.request.querystring["exe"]))
if (data.existusermail(oauthor.usermail))
oauthor.password = sitefun.shaencode(oauthor.password);
oauthor.publish = datetime.now;
oauthor.address = siteload.author.address;
oauthor.grade = sitefun.parsebte(base.request.form["aukind"]);
if (oauthor.grade > 2)
oauthor.id = data.insertauthor(oauthor);
base.response.write(string.format("1
名稱:許可權:
密碼:郵件:
儲存取消刪除
", new object ));
return;
}base.response.write("0必須的字段必須填寫");
return;
…………
}case 2: //修改
item2.username = sitefun.parsestr(base.request.form["auname"]);
item2.password = sitefun.parsestr(base.request.form["aupass"]);
item2.usermail = sitefun.parsestr(base.request.form["aumail"]);
if ((string.isnullorempty(item2.username) || string.isn
Springboot個人部落格系統 5 後台登入
首先,實現後台登入需要對前端接收的表單資料進行校驗,需要訪問資料庫,所以需要乙個userservice進行資料校驗,呼叫userrepository訪問資料庫,實現如下 userservice service public class userserviceimpl implements users...
個人部落格系統
一 開發背景 作為乙個程式設計師,一直就有乙個開發乙個自己部落格的夢想。2019年底的時候,突然瀏覽到崔慶才的個人部落格 心血來潮之下,趁著工作之餘,花費了不到乙個月的時候完成了這個心願。vue elementui nuxtjs express nodejs 1.個人部落格portal端 採用nux...
個人部落格系統
個人部落格系統 使用python開發語言,運用 django web開發框架,mysq作為資料庫 redis做快取伺服器實現乙個簡單的個人部落格系統實現功能 用bootstrap實現簡單整潔的登入 註冊頁面。個人部落格主頁實現了分頁 模板繼承 模組載入等許多功能。後台管理實現文章 使用者個人資訊的新...