原文
一个月前看了看了dedecms代码(只看了plus下的文件),发现有些变量人为控制没有过滤,但是在php的魔法引号这道天然屏障面前利用几率不好,但是联想到gbk的宽字符,突破方法就有了.
漏洞文件:plus/infosearch.php
测试版本:5.1 gbk 阅读全文 »
