漏洞3：任意目录浏览
    存在漏洞文件：admin\Editor\uploadfile.asp
    admin\Editor\ Admin_UploadFile.asp
    存在漏洞的代码段：

    漏洞存在原因：
    使用了request的方法来获取参数，允许用户直接从浏览器地址栏提交参数。
    解决方法一：改用request.form()获取。如果在本地构造一个form会不会一样继续浏览？所以抛弃。
    解决办法二：使用程序自带的过滤。
    如果你尝试过直接在地址栏输入后台文件名的话，你会发现是不被允许的。这段过滤的代码存在在admin/admin.asp里，所以，我们只要在uploadfile.asp和Admin_UploadFile.asp文件的顶部加上<!--#include file = "../admin.asp"-->，这样做可以避免从外部提交参数，就彻底解决这个任意目录浏览的问题，当然我们还要考虑，如果存在XSS怎么办？那还不是可以自己构造一个内部连接？是的，这个我也考虑了。所以在后台添加新闻的地方测试了下
 

    然后点预览，得到的结果一样。

 
    好分析结束，如果还有什么遗漏，还有错误的地方，欢迎大家指证、交流。