【漏洞复现】Django_debug page_XSS漏洞(CVE-2017-12794)

过期的秋刀鱼-2023-11-05 14:46

感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规

文章目录

说明 内容
漏洞编号 CVE-2017-12794
漏洞名称 Django_debug page_XSS漏洞
漏洞评级
影响范围 1.11.5版本
漏洞描述
修复方案

1.1、漏洞描述

1.11.5版本,修复了500页面中存在的一个XSS漏洞

1.2、漏洞等级

1.3、影响版本

Django 1.11.5版本

1.4、漏洞复现

1、基础环境

Path:Vulhub/django/CVE-2017-12794

启动测试环境:

bash 复制代码 
sudo docker-compose up -d

访问http://your-ip:8000/即可看到

2、漏洞分析

vulhub

3、漏洞验证
复制代码 
http://192.168.8.8:8000/create_user/?username=%3Cscript%3Ealert(1)%3C/script%3E

用户已经被 创建

再次刷新页面触发XSS

抛出异常

python 复制代码 
duplicate key value violates unique constraint "xss_user_username_key"
DETAIL:  Key (username)=(<script>alert(1)</script>) already exists.
相关推荐
醒过来摸鱼2 小时前
Java classloader
java·开发语言·python
superman超哥2 小时前
仓颉语言中元组的使用:深度剖析与工程实践
c语言·开发语言·c++·python·仓颉
小鸡吃米…2 小时前
Python - 继承
开发语言·python
祁思妙想2 小时前
Python中的FastAPI框架的设计特点和性能优势
开发语言·python·fastapi
Dingdangcat863 小时前
反恐精英角色识别与定位-基于改进的boxinst_r101_fpn_ms-90k_coco模型实现
python
世界唯一最大变量3 小时前
利用自定义积分公式,目前可以求出所有1元方程和1元积分的近似值
python
写代码的【黑咖啡】3 小时前
深入理解 Python 中的模块(Module)
开发语言·python
爱笑的眼睛114 小时前
超越 `cross_val_score`:深度解析Scikit-learn交叉验证API的架构、技巧与陷阱
java·人工智能·python·ai
smj2302_796826525 小时前
解决leetcode第3782题交替删除操作后最后剩下的整数
python·算法·leetcode
gCode Teacher 格码致知6 小时前
Python基础教学:Python 3中的字符串在解释运行时的内存编码表示-由Deepseek产生
python·内存编码
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06Multisim使用教程详尽版--(2025最新版)07CentOS的ISO镜像下载08Gemini3 生成的基于手势控制3D粒子圣诞树09Labelme从安装到标注:零基础完整指南10jdk21下载、安装(Windows、Linux、macOS)