分类: 网络与安全
2011-03-11 12:06:30
发布日期:2011-03.10
发布作者:webshell
影响版本:未知
官方网站:
漏洞类型:任意文件遍历/下载
简要描述:通过执行恶意攻击代码,可以查看指定目录,并可删除任意文件。
详细说明:/alz_admin/file/admin_files.asp中定义:
通过执行javascript代码修改目录名称,即可查看指定的目录文件,并可任意删除文件。
程序存在设计缺陷,攻击者可以任意删除文件,导致敏感信息泄露等安全事件。
漏洞证明:
javascript:F.open(‘文件管理’,'/修改成指定的目录名称/’,'FileUrl’);
