2013-12-18: 细节已通知厂商并且等待厂商处理中 2013-12-23: 厂商已经主动忽略漏洞,细节向公众公开
http://xw.zqgame.com:80/web.rar web.rar(Web.config)
<?xml version="1.0" encoding="UTF-8"?><configuration> <configSections> <sectionGroup name="applicationSettings" type="System.Configuration.ApplicationSettingsGroup, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"> <section name="NewKzNet.Properties.Settings" type="System.Configuration.ClientSettingsSection, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" requirePermission="false" /> </sectionGroup> </configSections> <appSettings> <!--统一图片上传配置 大小单位是kb--> <add key="fileUpAddress" value="net.tcp://192.168.130.114:8687/FileUpService" /> <add key="selfDomain" value="http://xw.zqgame.com/" /> <add key="fileUpMax" value="1024" /> <!--<add key="fileUpPath" value="D:\\webdata\\imgUp.zqgame.com\\"/>--> <add key="fileUpPath" value="C:\\website\\imgeswcf\\" /> <add key="FileUpDomain" value="http://imgUp.zqgame.com/" /> <!--统一图片上传配置--> <!--数据库连接--> <add key="connStr" value="NBiDy+vaNOzhc3WvdD6qXX6T4C1EwapY8lr1p/KqRULlXQ5o3eyzM08PbVDrDQC0ccxf/wJUL37Hw9pXxetwb8MaKKeDi1+lJpQWVIq8x2V/B0d1k/R6fgpo7LCX2Hm8DbJEMyOQYVm944INUBt2nU6eRQfU9HbDoLaj8RGt0zw=" /> <!--服务器--> <!--<add key="connStr" value="lA5OjeXaojHGIe3q4z35SkO9x6vc6YidVWe+0avfqKmok4G2XNf4VAG7aPCXmDfRHG3VE/nB7sIGXEhXbZ6OWg=="/>--> <!--<add key="connStr" value="lA5OjeXaojHGIe3q4z35Sj+6azz/QxSXHIFP0BHyHeSGbcQMnySSpGJx4tGrh26v72DjUm+Qfy7DCDywvOIqSw=="/>--> <!--后台管理设置--> <add key="server_backErrFilePath" value="D:\webdata\xw.zqgame.com\web\log\backerr.txt" /> <!--设置后台错误日志文件相对路径,必须拥有写文件的权限--> <add key="server_log4_config" value="D:\webdata\xw.zqgame.com\web\config\log4net.config" /> <!--设置后台错误日志文件相对路径,必须拥有写文件的权限--> <add key="backErrFilePath" value="log\backerr.txt" /><!--设置后台错误日志文件相对路径,必须拥有写文件的权限--> <add key="frontErrFilePath" value="log\fronterr.log" /><!--设置后台错误日志文件路径,必须拥有写文件的权限--> <add key="backArtPageSize" value="10" /><!--后台文章每页的最大显示数目--> <add key="backPicPageSize" value="10" /><!--后台图片每页的最大显示数目--> <add key="backHotActionPageSize" value="15" /><!--后台热点活动投票用户每页的最大显示数目--> <!--目录设置--> <add key="artDirPath" value="Main/Material" /><!--文章种类目录的相对父目录--> <add key="linkedPicDirPath" value="linkedPic" /><!--链接图片种类目录的相对父目录--> <add key="picDirPath" value="picture" /><!--图片种类目录的相对父目录--> <add key="actionDirPath" value="gameaction" /><!--游戏活动种类目录的相对父目录--> <add key="templatePath" value="article" /><!--文章模版在程序根目录下的父目录--> <add key="imagesUrl" value="http://img.pk1937.net/pk1937/" /><!--存放网站图片URL--> <add key="imagesPath" value="~\images\pk1937\" /><!--存放网站图片绝对路径--> <!--网站前台设置--> <add key="indexCreateTime" value="0" /><!--设置生成首页的间隔时间,单位为分钟--> <add key="artCreateTime" value="0" /><!--设置生成文章页面的间隔时间,单位为分钟--> <add key="mapCreateTime" value="0" /><!--设置生成地图页的间隔时间,单位为分钟--> <add key="npcCreateTime" value="0" /><!--设置生成npc页的间隔时间,单位为分钟--> <add key="newsTitleLength" value="22" /><!--设置首页新闻标题长度--> <add key="actionTitleLength" value="22" /><!--设置首页官方活动标题长度--> <add key="gameTitleLength" value="18" /><!--设置首页攻略心得标题长度--> <add key="storyTitleLength" value="18" /><!--设置首页心情故事标题长度--> <add key="artPageSize" value="20" /><!--前台文章每页的最大显示数目--> <add key="picPageSize" value="20" /><!--前台图片每页的最大显示数目--> <add key="picCount" value="3" /><!--官网首页玩家截图等图片显示数目--> <add key="uploadPicSize" value="819200" /><!--允许用户上传的图片大小最大值,单位为字节--> <!--邮件发送设置--> <add key="mailServer" value="211.160.192.36" /> <!--邮件服务器的地址,如localhost--> <add key="mailAuthenType" value="1" /> <!--邮件发送不需要验证为0,需要验证为1(则需要邮件发送人和密码)--> <add key="mailUser" value="hero@powerleader.com.cn" /> <!--邮件发送人--> <add key="mailPwd" value="+I/ztVYg5MA=" /> <!--邮件发送人密码,需要验证时填写--> <add key="provinces" value="北京,上海,天津,重庆,安徽,福建,甘肃,广东,广西,贵州,海南,河北,河南,黑龙江,湖北,湖南,吉林,江苏,江西,辽宁,内蒙古,宁夏,青海,山东,山西,陕西,四川,西藏,新疆,云南,浙江,台湾,香港,澳门" /> <!--省份--> <add key="maxPrevLength" value="122" /> <add key="javawebserverice.ILogin" value="http://211.151.77.91/validate/service/ILogin" /> <add key="Lj_login.LoginWebService" value="http://passport.zqgame.com//services/LoginWebService" /> <add key="login_role.GetRpCharInfo" value="http://211.151.77.87:8888/ZqServices/WebServices/GetRpCharInfo.asmx" /> <!--中心帐号库注册认证接口url--> <add key="passportReg" value="http://211.151.77.110/pst/ucjoyRegister.do?" /> <!--中心帐号库注册认证接口--> <!--中心帐号库认证帐号是否注册接口url--> <add key="checkuser" value="http://211.151.77.110/pst/ajax.do?" /> <!--中心帐号库认证帐号是否注册接口--> <!--中心帐号库登陆认证接口url--> <add key="NewpassportLogin" value="http://ptlogin.api.zqgame.com/ptLogin/" /> <!--中心帐号库登陆认证接口--> <!--检测账号是否存在--> <add key="passNameExist" value="http://reg.api.zqgame.com/passNameExist/" /> <!--平台验证接口key--> <add key="iloginkey" value="+Tpiig58GiBqPFYUKs5J1fTFSpMMjrUpEvhjVv+78RsXqDXfjBoL+g==" /> <!--平台验证接口--> <add key="actgame.ActiveGameWebService" value="http://passport.zqgame.com/services/ActiveGameWebService" /> </appSettings> <system.web> <customErrors mode="Off" /> <authentication mode="Forms"> <forms name="authenCookie" loginUrl="Admin/LoginAdmin.aspx" protection="All" timeout="20" path=".."></forms> </authentication> <!-- 授权 此节设置应用程序的授权策略。可以允许或拒绝不同的用户或角色访问 应用程序资源。通配符: "*" 表示任何人,"?" 表示匿名 (未经身份验证的)用户。 --> <machineKey validation="3DES" /> <authorization> <allow users="*" /> <!-- 允许所有用户 --> <!-- <allow users="[逗号分隔的用户列表]" roles="[逗号分隔的角色列表]"/> <deny users="[逗号分隔的用户列表]" roles="[逗号分隔的角色列表]"/> --> </authorization> <!-- 应用程序级别跟踪记录 应用程序级别跟踪为应用程序中的每一页启用跟踪日志输出。 设置 trace enabled="true" 可以启用应用程序跟踪记录。如果 pageOutput="true",则 在每一页的底部显示跟踪信息。否则,可以通过浏览 Web 应用程序 根目录中的 "trace.axd" 页来查看 应用程序跟踪日志。 --> <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" /> <!-- 会话状态设置 默认情况下,ASP.NET 使用 Cookie 来标识哪些请求属于特定的会话。 如果 Cookie 不可用,则可以通过将会话标识符添加到 URL 来跟踪会话。 若要禁用 Cookie,请设置 sessionState cookieless="true"。 --> <sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" cookieless="false" timeout="20" /> <!-- 全球化 此节设置应用程序的全球化设置。 --> <globalization requestEncoding="utf-8" responseEncoding="gb2312" fileEncoding="gb2312" /> <httpHandlers> <!--<add path="indexmain.html,Main/article.aspx" verb="*" type="NewKzNet.Components.RequestProcessor, NewKzNet"/>--> <add path="swf/pix.swf" verb="*" type="NewKzNet.Components.WebsiteAuthen, NewKzNet" /> </httpHandlers> <xhtmlConformance mode="Legacy" /> <pages validateRequest="false" controlRenderingCompatibilityVersion="3.5" clientIDMode="AutoID" /> <compilation debug="true" targetFramework="4.0" /></system.web> <!--<location path="Admin"> <system.web> <authorization> <deny users="?" /> </authorization> </system.web> </location> <location path="Admin/LoginAdmin.aspx"> <system.web> <authorization> <allow users="?" /> </authorization> </system.web> </location> <location path="Admin/Error.aspx"> <system.web> <authorization> <allow users="*" /> </authorization> </system.web> </location>--> <system.codedom> </system.codedom> <system.webServer> <defaultDocument> <files> <add value="guide.html" /> </files> </defaultDocument> <httpProtocol> <customHeaders> <add name="P3P" value="CP=CAO PSA OUR" /> <add name="Access-Control-Allow-Origin" value="*" /> </customHeaders> </httpProtocol> </system.webServer> <applicationSettings> <NewKzNet.Properties.Settings> <setting name="NewKzNet_WSPhb_PhbService" serializeAs="String"> <value>http://172.16.30.87:9031/gwinterface/PhbService.asmx</value> </setting> <setting name="NewKzNet_Lj_login_LoginWebService" serializeAs="String"> <value>http://passport.zqgame.com//services/LoginWebService</value> </setting> <setting name="NewKzNet_xwvip_XwVip1208" serializeAs="String"> <value>http://211.151.77.87:9031/gwinterface/XwVip1208.asmx</value> </setting> <setting name="NewKzNet_com_zqgame_passport_ActiveGameWebService" serializeAs="String"> <value>http://passport.zqgame.com//services/ActiveGameWebService</value> </setting> </NewKzNet.Properties.Settings> </applicationSettings> <location path="admin/MaterialAdd.aspx"> <system.web> <globalization requestEncoding="gb2312" responseEncoding="gb2312" culture="zh-CN" fileEncoding="gb2312" /> </system.web> </location> <location path="admin/ArticleAdd.aspx"> <system.web> <globalization requestEncoding="gb2312" responseEncoding="gb2312" culture="zh-CN" fileEncoding="gb2312" /> </system.web> </location> <location path="admin/MaterialUpdate.aspx"> <system.web> <globalization requestEncoding="gb2312" responseEncoding="gb2312" culture="zh-CN" fileEncoding="gb2312" /> </system.web> </location> <location path="admin/ArticleUpdate.aspx"> <system.web> <globalization requestEncoding="gb2312" responseEncoding="gb2312" culture="zh-CN" fileEncoding="gb2312" /> </system.web> </location> <location path="admin/IndexFlashManage.aspx"> <system.web> <globalization requestEncoding="gb2312" responseEncoding="gb2312" culture="zh-CN" fileEncoding="gb2312" /> </system.web> </location> <location path="admin/downLoad.aspx"> <system.web> <globalization requestEncoding="gb2312" responseEncoding="gb2312" culture="zh-CN" fileEncoding="gb2312" /> </system.web> </location> </configuration>
刷分
危害等级:无影响厂商忽略
忽略时间:2013-12-23 16:37
暂无
:)
@moses ^^
