Django 通过 Trunc(kind) 和 Extract(lookup_name) 参数进行潜在 SQL 注入 (CVE-2022-34265)

blackK_YC2023-11-27 13:46

漏洞描述

Django 于 2022 年6月4 日发布了一个安全更新,修复了 Trunc() 和 Extract() 数据库函数中的 SQL 注入漏洞。

参考链接:

漏洞环境及利用

搭建docker环境

服务器启动后,您可以在 上看到一个网页。http://your-ip:8000

此页面使用函数按日期时间聚合页面点击次数。例如,使用此链接查看每分钟的点击次数:http://your-ip:8000/?date=minute

更改参数以重现 SQL 注入:date

复制代码 
`http://your-ip:8000/?date=xxxx'xxxx`
相关推荐
周杰伦_Jay5 小时前
详细介绍:云原生技术细节(关键组成部分、优势和挑战、常用云原生工具)
java·云原生·容器·架构·kubernetes·jenkins·devops
元气满满的热码式5 小时前
K8S中Pod控制器之DaemonSet(DS)控制器
云原生·容器·kubernetes
夏子曦5 小时前
k8s 蓝绿发布、滚动发布、灰度发布
云原生·容器·kubernetes
ShareBeHappy_Qin6 小时前
ZooKeeper 中的 ZAB 一致性协议与 Zookeeper 设计目的、使用场景、相关概念(数据模型、myid、事务 ID、版本、监听器、ACL、角色)
分布式·zookeeper·云原生
颜淡慕潇10 小时前
【K8S系列】在 K8S 中使用 Values 文件定制不同环境下的应用配置
云原生·容器·kubernetes·环境配置
来恩100317 小时前
Kubernetes学习指南与资料分享
云原生·容器·kubernetes
weixin_3875456420 小时前
探索云原生可观测性:技术与团队协作的深度结合
云原生
RedCong1 天前
multus使用教程
云原生·k8s·openshift
季风泯灭的季节1 天前
K8s UI工具 Kuboard 安装
云原生·容器·kubernetes
007php0072 天前
go语言zero框架通过chromedp实现网页在线截图的设计与功能实现
java·开发语言·后端·python·docker·云原生·golang
热门推荐
01xgboost: Why not implement distributed XGBoost on top of spark02Dell服务器升级ubuntu 22.04失败解决03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04密码学原理技术-第六章-introduction to pulibc-key cryptography05(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明06优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间07ChatGPT + Stable Diffusion + 百度AI + MoviePy 实现文字生成视频,小说转视频,自媒体神器!(二)08Windows10安装PCL1.14.0及点云配准09渗透测试之SQLMAP工具详解 kali自带SQLmap解释 重点sqlmap --tamper 使用方式详解 搞完你就很nice了10JS设计模式之中介者模式