大汉版通JIS统一身份认证系统源码某处的信息泄漏可能影响大部分JIS
简要描述: 有点奇葩但是已经遇到过两次的漏洞。不过不要因为我分类选了“信息泄漏”就觉得这个只是小漏洞……其实这货可能影响大了呢!而且里面的利用可以结合之前我提交的JIS的漏洞综合来利用,还是有点意思的 详细说明: 2.2.1版本的JIS中某个文件包含了JIS相关邮件找回密码的邮箱信息!包含邮箱用户名和邮箱密码!也就是说,有一部分版本的JIS,找回用户密码的功能所发出的邮件,都是利用该邮箱发出的!到底有什么危害?下面继续看 漏洞证明: jis\check\findpwd\oprvalidate.jsp String sender =new...