Django 通过 Trunc(kind) 和 Extract(lookup_name) 参数进行潜在 SQL 注入 (CVE-2022-34265)

blackK_YC2023-11-27 13:46

漏洞描述

Django 于 2022 年6月4 日发布了一个安全更新,修复了 Trunc() 和 Extract() 数据库函数中的 SQL 注入漏洞。

参考链接:

漏洞环境及利用

搭建docker环境

服务器启动后,您可以在 上看到一个网页。http://your-ip:8000

此页面使用函数按日期时间聚合页面点击次数。例如,使用此链接查看每分钟的点击次数:http://your-ip:8000/?date=minute

更改参数以重现 SQL 注入:date

复制代码 
`http://your-ip:8000/?date=xxxx'xxxx`
相关推荐
虚伪的空想家14 小时前
rook-ceph配置dashboard代理无法访问
ceph·云原生·k8s·存储·rook
Connie145120 小时前
k8s多集群管理中的联邦和舰队如何理解?
云原生·容器·kubernetes
伤不起bb1 天前
Kubernetes 服务发布基础
云原生·容器·kubernetes
国际云,接待1 天前
微软服务器安全问题
运维·服务器·云原生·云计算·azure
别骂我h1 天前
Kubernetes服务发布基础
云原生·容器·kubernetes
要开心吖ZSH1 天前
微服务架构的演进:迈向云原生
java·微服务·云原生
dyj0951 天前
Rancher Server + Kubernets搭建云原生集群平台
云原生·rancher
weixin_399380691 天前
k8s一键部署tongweb企业版7049m6(by why+lqw)
java·linux·运维·服务器·云原生·容器·kubernetes
慌糖2 天前
微服务介绍
微服务·云原生·架构
阿里云云原生2 天前
阿里云可观测 2025 年 6 月产品动态
云原生
热门推荐
012024年 最新 iPhone手机 历代机型、屏幕尺寸、纵横比、分辨率 整理02Coze实战第13讲:飞书多维表格读取+豆包生图模型,轻松批量生成短剧封面03Coze扣子平台完整体验和实践(附国内和国际版对比)04Word粘贴时出现“运行时错误53,文件未找到:MathPage.WLL“的解决方案05手机电脑之间快速传输图片视频文件,不压缩画质、不限制大小的方法!06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07MIUI显示/隐藏5G开关的方法,信号弱时开启手机Wifi通话方法08华为昇腾 910B 部署 DeepSeek-R1 蒸馏系列模型详细指南09DeepSeek各版本说明与优缺点分析10django中用 InforSuite RDS 替代memcache