ECShop v2.7.2 wap页面暴路径0day

    谷歌:inurl:mobile/goods.php?act=view_img&id=123

    搜到后在页面加个&id=5
    也就是http://www.orzhack.com/mobile/goods.php?act=view_img&id=123&id=5

    譬如,对于很多论坛来说,提交一个不存在的文件请求,或者提交一个没有输出的文件的请求,服务器就会将网站本身所有的物理路径给暴露出来。
    危害  得到物理路径到底有什么用?这是很多攻击者关心的问题。有些时候它能给攻击者带来一些有用的信息,比如说:可以大致了解系统的文件目录结构;可以看出系统所使用的第三方软件;也说不定会得到一个合法的用户名(因为很多人把自己的用户名作为网站的目录名)。
    by:hackshy

    本博客所有文章如无特别注明均为原创。
    复制或转载请以超链接形式注明转自n0elle's Blog,原文地址《ECShop v2.7.2 wap页面暴路径0day
    标签:
    喜欢 | 0
    分享:

还没有人抢沙发呢~