废多多后台管理系统多处漏洞-网站做的稀碎

存在.svn文件目录被允许访问,可以下载数据库文件

存在多越权,以下只是示例

/Admin/OrderMgr
/Admin/CardMgr
未授权上传;index.php/Admin/AdsMgr/add
任意超级管理员注册:index.php/Admin/UserMgr/add?roleid=1

还有apache目录泄露漏洞

公告列表处xss
未授权公告添加:index.php/Admin/NoticeMgr
可构造恶意payload诱导admin查看此公告,然后触发漏洞

整体来说,这个站,稀碎