本文作者： philoes[B.C.T] 文章出处： http://www.bnso.net/new 阅读次数： 27公布日期： -12-17 为利便记事，以是搜索一个日志本用用，找了半天找到了一个潇湘在线の公然日志程序，界面还算漂亮，不外存在暴库破绽。(应该说算不上什么破绽，哈哈。。。。。。）破绽形貌：如：http://www.target.com/diary/default.asp我们提交：http://www.target.com/diary5cdefault.asp就能看到数据库的物理路径了！不外治理密码不在数据库，以是这个破绽基本没什么用，但当被人把数据库改为ASP或ASA为后缀的文件，那危害就大了。我们就可以写入WEBSHELL了。破绽存在于：潇湘在线の公然日志 V1.0潇湘在线の公然日志 V2.0