Django 通过 Trunc(kind) 和 Extract(lookup_name) 参数进行潜在 SQL 注入 (CVE-2022-34265)

blackK_YC2023-11-27 13:46

漏洞描述

Django 于 2022 年6月4 日发布了一个安全更新,修复了 Trunc() 和 Extract() 数据库函数中的 SQL 注入漏洞。

参考链接:

漏洞环境及利用

搭建docker环境

服务器启动后,您可以在 上看到一个网页。http://your-ip:8000

此页面使用函数按日期时间聚合页面点击次数。例如,使用此链接查看每分钟的点击次数:http://your-ip:8000/?date=minute

更改参数以重现 SQL 注入:date

复制代码 
`http://your-ip:8000/?date=xxxx'xxxx`
相关推荐
东北甜妹17 分钟前
K8s -探针
云原生·容器·kubernetes
郑寿昌22 分钟前
K8s中GPU智能体扩缩容的显存碎片优化
云原生·容器·kubernetes
roman_日积跬步-终至千里1 小时前
【系统架构师案例题-知识点】云原生与大数据架构
大数据·云原生·系统架构
米高梅狮子3 小时前
09.kube-proxy、Ingress和Network Policy
云原生·容器·架构·kubernetes·自动化
面汤放盐4 小时前
架构对比:单体架构与微服务架构
微服务·云原生·架构
iwS2o90XT4 小时前
微服务架构设计:Spring Cloud Gateway与Nacos集成
微服务·云原生·架构
jc062016 小时前
6.1云原生之Docker
c++·docker·云原生
运维全栈笔记1 天前
K8S部署WordPress+MySQL:模块化YAML配置详解
服务器·mysql·docker·云原生·容器·kubernetes·服务发现
眷蓝天1 天前
k8s-pod资源对象实验
云原生·容器·kubernetes·pod资源对象
TE-茶叶蛋1 天前
微服务下 DTO 设计核心原则
微服务·云原生·架构
热门推荐
01GitHub 镜像站点02近期有什么ai的新消息,新动态? 2026.4月032026年4月AI大事件深度解读:大模型竞争进入“深水区“042026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot05Codex 接入 DeepSeek API 完整配置文档06【AI】2026 年具身智能模型和世界模型总结07在Windows 11上安装Docker的踩坑记录08零基础教你claude code 接入 deepseek V4092026年AI前瞻:量子AI、具身智能与科学发现的新纪元10VSCode + Copilot下:配置并使用 DeepSeek