详细说明:
http://show.qq测试数据/show_v3.html 此页面 的iframe scr属性分别引用MUrl TUrl LUrl 三个URL参数,限制了对外提交,只限访问http://imgcache.qq测试数据 http://imgcache.qq测试数据内的文件 但其没有过滤 导致可以访问imgcache.qq测试数据 web目录下的任意文件
漏洞 证明:
http://show.qq测试数据/show_v3. html ?MUrl=/club/wallpic/index.html&TUrl=http://imgcache.qq测试数据/qzone/admin/user_PreviewInfo.html
修复方案:
对MUrl TUrl LUrl 三个URL参数过滤下嘛。
查看更多关于QQ秀页面的三个URL参数没有过滤导致跨目录浏览的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11354