django中安全sql注入等

最新推荐文章于 2024-05-18 12:37:33 发布
最新推荐文章于 2024-05-18 12:37:33 发布
阅读量384 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reblue520/article/details/103581648
版权

模拟sql注入

  1. 使用原生sql语句编写login登录逻辑
class LoginUnsafeView(View):
    def get(self, request):
        return render(request, "login.html", {})

    def post(self, request):
        user_name = request.POST.get("username", "")
        pass_word = request.POST.get("password", "")

        import MySQLdb
        conn = MySQLdb.connect(host='127.0.0.1', user='root', passwd="root", db="mxonline", charset='utf8')
        cursor = conn.cursor()
        sql_select = "select * from users_userprofile where email='{0}' and password='{1}'".format(user_name, pass_word)

        result = cursor.execute(sql_select)
        for row in cursor.fetchall():
            # 查询到用户
            pass
        print 'login end'

 

编写url

页面登录测试

随意输入aaa/aaa,可以看到是不可能登录成功的

登录框输入 ' OR 1 = 1#
空格单引号  'or 1=1#

可以看到sql语句拼凑成功绕过验证

reblue520
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【漏洞复现-django-SQL注入】vulfocus/django-cve_2019_14234
10-12 1253
django-SQL注入】参数注入
django SQL注入(CVE-2019-14234)
m0_65150886的博客
02-26 569
Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。在1.11.x before 1.11.23、2.1.x before 2.1.11和2.2.x before 2.2.4的版本Django存在安全漏洞,Django使用了JSONField并且查询的“键名”可控,导致存在SQL注入漏洞。
Django JSONField/HStoreField SQL注入漏洞(CVE-2019-14234)
最新发布
weixin_45653478的博客
05-18 361
CVE-2019-14234 是一个 SQL 注入漏洞,它存在于 Django 框架的 JSONField 和 HStoreField 字段类型。当开发者使用这些字段类型,并且允许用户通过查询集(queryset)的键名(key name)来执行查询时,就可能会受到此漏洞的影响。由于 Django 在处理这些查询时使用了简单的字符串拼接,恶意用户可以通过构造特定的查询来注入恶意的 SQL 代码。
vulfocus——Django SQL注入(CVE-2021-35042)
m0_62063669的博客
09-17 850
如果 order_by 是来自 Web 应用程序客户端的不受信任的输入,则 3.1.13 之前的 Django 3.1.x 和 3.2.5 之前的 3.2.x 允许 QuerySet.order_by SQL 注入。2.根据提示访问,根据返回的信息可得出order传入的值可控。3.利用堆叠+报错进行注入(flag在报错页面的下面)(当为“id”正序排列,当为“-id”反序排列)
sql注入攻击和django如何实现防止sql注入
weixin_39944891的博客
07-17 5305
sql注入攻击 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL...
Django网站建设-sql注入、xss攻击、csrf攻击
叶嘉的博客
02-21 1253
SQL注入 1.在网页利用sql语句进行注入攻击,网页获取用户输入参数,但有些恶意用户利用特殊sql语句上传参数,后端获取参数若不对其正确性合法性进行判断,则有可能对数据库造成危害 2.get和post上传数据的时候,做好对参数的检查 3.利用Dajngo的ORM可有效避免sql注入,因为Django已经对特殊字符进行转义 不安全的视图逻辑举例:未对用户post的数据进行正确性合...
python+Django实现防止SQL注入的办法
01-02
先看看那种容易被注入的SQL id = 11001 sql = SELECT id, name, age FROM student WHERE id = +id+ cursor = connection.cursor() try: cursor.execute(sql) result = cursor.fetchall() for ...
python django 原生sql 获取数据的例子
09-18
值得注意的是,虽然直接使用原生SQL可以提供更灵活的查询能力,但这样做可能会降低代码的可维护性,因为Django ORM提供了许多内置功能,如事务管理、自动转义和SQL注入防护等。因此,除非有特殊需求,通常建议优先...
Django_CVE-2020-9402_Geo_SQL注入分析1
08-03
Django_CVE-2020-9402_Geo_SQL注入分析 Django 框架是一个流行的 Python Web 框架,它提供了许多实用的功能,包括 GIS( Geographic Information System)查询功能。然而,在 Django 的 GIS 查询存在一个_sql ...
django执行原始查询sql,并返回Dict字典例子
09-17
Django框架,有时我们需要执行自定义的SQL查询,以获取更高效或者特定格式的数据。在这种情况下,我们...请注意,虽然这种方式提高了灵活性,但也需要注意SQL注入安全问题,确保所有输入的SQL语句都是安全的。
Django SQL注入漏洞复现(CVE-2021-35042)
又菜又爱倒腾的博客
10-29 6775
#Django SQL注入漏洞(CVE-2021-35042)# 一、漏洞简介 Django是一个开放源代码的Web应用框架,由Python写成。采用了MVC的框架模式,即模型M,视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器
Web攻防之XSS,CSRF,SQL注入
weixin_30536513的博客
03-11 400
摘要:对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。本文结合WEB TOP10漏洞常见的SQL注入,跨站脚本攻击(XSS),跨站请求伪造(CSRF)攻击的产生原理,介绍相应的防范方法。 关键字:SQL注入,XSS,CSRF 1.SQL注入   所谓SQL注入式攻击,就是攻击者把SQL命令插入到W...
Django SQL注入漏洞(CVE-2020-7471)复现
锋刃科技的博客
08-01 2820
简介 Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞(CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义并注入恶意SQL语句。 影响版本 Django 1.11.x < 1.11.28 Django 2.2.x < 2.2.10 Django 3.0.x < 3.0.3 Django 主开发分支 环境搭建 ..
Django SQL注入漏洞(CVE-2020-7471) 复现
weixin_47531489的博客
07-19 733
1 简介 Python下有许多款不同的 Web 框架。Django是重量级选手最有代表性的一位。许多成功的网站和APP都基于DjangoDjango 是一个开放源代码的 Web 应用框架,由 Python 写成。Django 遵守 BSD 版权,初次发布于 2005 年 7 月, 并于 2008 年 9 月发布了第一个正式版本 1.0 。Django 采用了 MVT 的软件设计模式,即模型(Model),视图(View)和模板(Template)。 2 漏洞概述 2020年2月3日,Django
Web攻防之SQL注入
午夜飞行
04-22 619
1.SQL注入   所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的查询,篡改命令。   它能够轻易的绕过防火墙直接访问数据库,甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞,SQL Injection
注入攻击-SQL注入和代码注入
weixin_34195142的博客
03-18 760
注入攻击 OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险。实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功。虽然这是最明显的组合关系,但是注入攻击带来的不仅仅是 XSS。 注入攻击代指一类攻击,它们通过注入数据到一个网络应用程序以期获得执行,亦或是通过非预期的一个方式来执行恶意数据。这种类别的攻...
django安全机制
coding 菜鸟 记录学习历程
09-20 4084
对于django驱动网站的建议: xss 保护: xss攻击允许用户注入客户端脚本到其他用户的服务器上。通常通过存储恶意脚本到数据库,其他用户通过数据库获取恶意脚本,并在浏览器上呈现;或是使用户点击会引起攻击者javascirpt脚本在用户客户端的连接来达到目的。但是xss攻击可能发生在任意不可信的数据源头,例如cookie和web service。无论何时,只要数据在页面内没有充分地消毒(s
python+Django 防止SQL注入的办法
王先生的博客
10-30 1348
python+Django 防止SQL注入 先看看那种容易被注入的SQL id = 11001 sql = """ SELECT id, name, age FROM student WHERE id = """...
Django 2020-9402 Geo SQL注入漏洞详解与修复分析
Django CVE-2020-9402是一个针对Oracle数据库的SQL注入漏洞,主要影响的是GIS(Geographic Information System)功能的函数和聚合操作。这个漏洞源于对GIS查询的`tolerance`参数的不当处理,该参数允许用户输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值