Django 通过 Trunc(kind) 和 Extract(lookup_name) 参数进行潜在 SQL 注入 (CVE-2022-34265)

blackK_YC2023-11-27 13:46

漏洞描述

Django 于 2022 年6月4 日发布了一个安全更新,修复了 Trunc() 和 Extract() 数据库函数中的 SQL 注入漏洞。

参考链接:

漏洞环境及利用

搭建docker环境

服务器启动后,您可以在 上看到一个网页。http://your-ip:8000

此页面使用函数按日期时间聚合页面点击次数。例如,使用此链接查看每分钟的点击次数:http://your-ip:8000/?date=minute

更改参数以重现 SQL 注入:date

复制代码 
`http://your-ip:8000/?date=xxxx'xxxx`
相关推荐
斯普信专业组3 小时前
基于Kubernetes的Apache Pulsar云原生架构解析与集群部署指南(下)
云原生·kubernetes·apache
岸边的风3 小时前
企业级可观测性实现:OpenObserve云原生平台的本地化部署与远程访问解析
云原生
国际云,接待5 小时前
云计算的基础概论
服务器·人工智能·阿里云·云原生·云计算·腾讯云·aws
张青贤11 小时前
k8s的pod挂载共享内存
云原生·容器·kubernetes
和计算机搏斗的每一天11 小时前
k8s术语之secret
云原生·容器·kubernetes
_板栗_13 小时前
k8s 中 deployment 管理的多个 pod 构成集群吗
云原生·容器·kubernetes
Kookoos13 小时前
从单体到微服务:基于 ABP vNext 模块化设计的演进之路
后端·微服务·云原生·架构·c#·.net
小马过河R15 小时前
基于OpenTelemetry的分布式链路追踪Trace‌实现(PHP篇)
开发语言·分布式·微服务·云原生·php
和计算机搏斗的每一天18 小时前
k8s术语之Horizontal Pod Autoscaling
云原生·容器·kubernetes
Apache Flink18 小时前
网易游戏 Flink 云原生实践
游戏·云原生·flink
热门推荐
01从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05苍穹外卖面试总结06西电B测-计算机网络综合实验(含验收问题)07Coze扣子平台完整体验和实践(附国内和国际版对比)08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09DeepSeek各版本说明与优缺点分析10YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU