Django 通过 Trunc(kind) 和 Extract(lookup_name) 参数进行潜在 SQL 注入 (CVE-2022-34265)

blackK_YC2023-11-27 13:46

漏洞描述

Django 于 2022 年6月4 日发布了一个安全更新,修复了 Trunc() 和 Extract() 数据库函数中的 SQL 注入漏洞。

参考链接:

漏洞环境及利用

搭建docker环境

服务器启动后,您可以在 上看到一个网页。http://your-ip:8000

此页面使用函数按日期时间聚合页面点击次数。例如,使用此链接查看每分钟的点击次数:http://your-ip:8000/?date=minute

更改参数以重现 SQL 注入:date

复制代码 
`http://your-ip:8000/?date=xxxx'xxxx`
相关推荐
掘根21 小时前
【微服务即时通讯项目】系统联调
微服务·云原生·架构
http阿拉丁神猫1 天前
kubernetes知识点汇总31-36
云原生·容器·kubernetes
ai_coder_ai1 天前
如何在自动化脚本中使用云原生功能(FaaS和BaaS)?
云原生·autojs·自动化脚本·冰狐智能辅助·easyclick
fengyehongWorld1 天前
kubernetes Argo简介
云原生·容器·kubernetes
键盘鼓手苏苏2 天前
Kubernetes与GitOps最佳实践
云原生·kubernetes·k8
AI精钢2 天前
谷歌时隔一年发布“更加开源“的 Gemma 4,意图何为?
人工智能·云原生·开源·aigc
小陈工2 天前
Python Web开发入门(十):数据库迁移与版本管理——让数据库变更可控可回滚
前端·数据库·人工智能·python·sql·云原生·架构
威联通安全存储2 天前
云原生数据湖:QuObjects 本地 S3 对象存储解析
python·云原生
wei_shuo2 天前
从边缘到云端:国产时序数据库IoTDB与TimechoDB的云原生落地全攻略
云原生·时序数据库·iotdb
A-刘晨阳2 天前
K8s之StatefulSet控制器
运维·云原生·容器·kubernetes·statefulset
热门推荐
01GitHub 镜像站点02Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)05【技术干货】Gemma 4 上手深度指南:本地多模态大模型的新基线06最新更新版本,OpenClaw v2026.4.2 深度解读剖析:Task Flow 重磅回归与安全架构的全面硬化07纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!08AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南09“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)10Mac 本地部署 OMLX + 通义千问 Qwen3.5-27B 保姆级教程