这套系统很多台湾大学在用。
sign.php源码:
作者先设置好了4个用户名和密码的常量,然后检查方式是
…………省略
$mem_passwd=array($sign_name_1=>$sign_passwd_1,$sign_name_2=>$sign_passwd_2,$sign_name_3=>$sign_passwd_3,$sign_name=>$sign_passwd);
…………省略
有的网站站主会更改里边用户名和密码的数量,可是一旦更改成少于等3个的话,这种检查方式就白废了(数组里有的为空了)。于是可以不用用户名和密码来直接来上传phpwebshell了。这个漏洞最好笑的是,默认是没洞的,不过网站站主越想安全,反而越不安全,所以是人为漏洞。