后台没有修改管理密码的认证。是登录吗?管理密码可以任意修改!
漏洞出在Admin_Pass="superseo">ssod.asp文件,<!--#includefile="../Include/conn.asp"-->
<!--#includefile="../Include/md5.asp"-->
<%
response.expires=0
response.expiresabsolute=now()-1
response.addHeader"pragma","no-cache"
response.addHeader"cache-control","private"
Response.cachecontrol="no-cache"
'========分辨是不是具备管理管理权限
%>
<html>
<head>
<meta.http-equiv="Content-Type"content="text/html;charset=gb2312"/>
<title>无标题文档</title>
<linkhref="images/Admin_css.css"type=text/cssrel=stylesheet>
</head>
<body>
实际上在上面的网页页面中添加
<!--#includefile="Admin_check.asp"-->就可以,但是并不是一个网页页面,在admin文件目录中有好几个网页页面必须加上。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)