风讯网站管理系统是一个现在比较流行的,和动易齐名的一个在线编辑系统,最出名的是其采集系统,是一个很好的管理程序,而且在3.0以上的版本加上了密码保护,就算得到 数据 库也不能进入后台
不过由于风讯网站管理系统的users/Editer/SelectPic.asp文件过滤不严造成用户可以浏览整站文件
测试方法:users/Editer/SelectPic.asp?LimitUpFileFlag=&CurrPath=/Files/../bbs/data
此方法在目前所有版本中得到确认,其官方站删除了此文件,临时解决办法:删除users/Editer/SelectPic.asp文件
(虽然下载了他的 数据 库没用但是,下载了其他的 数据 库就有用了,比如说我现在指向的 动网 的 数据 库目录)
注:此 漏洞 发现后没通知还没通知管理员,如果觉得此文有不适当的地方,请暂时不要发表