导致漏洞的是这个插件:http://www.emlog.net/plugin/14 。其id为14,也是emlog存在较早的插件了,作者是emlog大版主KLLER。 这个插件是自动备份用的。它在前端放一个ajax控件,在每次用户访问时请求一次插件,插件检查一下上次备份的文件时间,如果相隔时间超过一定值,那么就再次进行备份。通过这个方法来达到“自动备份”的效果。 文件名是和时间戳一一对应的,这样就造成了一个“备份文件名可被准确计算”的漏洞,造成整站数据库备份泄露。