Django debug page XSS漏洞(CVE-2017-12794)学习记录
i春秋实验:
https://www.ichunqiu.com/vm/59863/1
参考文章:
https://www.leavesongs.com/penetration/django-debug-page-xss.html
Django
一个开放源代码的Web应用框架,由Python写成。采用了MVC的框架模式,即模型M,视图V和控制器C,Django也是CMS(内容管理系统)软件
- Django的模型最终是操作数据库
- psycopg2,是Python语言的PostgreSQL数据库接口,是对Psycopg 1.1.x版本进行的几乎完全的改写
漏洞触发的关键点
- 进入这个if语句:{% ifchanged frame.exc_cause %}{% if frame.exc_cause %}
- 在1.11.4 版本的Django中,if语句中有转换,在1.11.5中变成了强制转换
如果你重复创建同一个user【username变量