Django 通过 Trunc(kind) 和 Extract(lookup_name) 参数进行潜在 SQL 注入 (CVE-2022-34265)

blackK_YC2023-11-27 13:46

漏洞描述

Django 于 2022 年6月4 日发布了一个安全更新,修复了 Trunc() 和 Extract() 数据库函数中的 SQL 注入漏洞。

参考链接:

漏洞环境及利用

搭建docker环境

服务器启动后,您可以在 上看到一个网页。http://your-ip:8000

此页面使用函数按日期时间聚合页面点击次数。例如,使用此链接查看每分钟的点击次数:http://your-ip:8000/?date=minute

更改参数以重现 SQL 注入:date

复制代码 
`http://your-ip:8000/?date=xxxx'xxxx`
相关推荐
字节跳动数据平台1 小时前
深耕分析型数据库领域,火山引擎ByteHouse入围《2024爱分析数据库厂商全景报告
数据库·后端·云原生
古猫先生4 小时前
2028年企业云存储支出翻倍,达到1280亿美元
人工智能·云原生
lendq13 小时前
k8s-第八节-Helm
云原生·容器·kubernetes
lendq16 小时前
k8s-第三节-工作负载
云原生·容器·kubernetes
科技互联人生17 小时前
云原生技术架构详解
云原生·系统架构
lldhsds17 小时前
Kubernetes云原生存储解决方案openebs部署实践-3.10.0版本(helm部署)
云原生·kubernetes·openebs
研究司马懿1 天前
【云原生】Kubernetes部署高可用平台手册
云原生·容器·kubernetes·k8s·负载均衡·高可用架构
The Straggling Crow1 天前
k8s record 20240703
云原生·容器·kubernetes
2401_858120532 天前
Eureka服务下线机制解析:确保服务注册与发现的准确性
云原生·eureka
hay_lee2 天前
一台docker机器如何实现构建多平台镜像
运维·docker·云原生·容器
热门推荐
012024年江苏省研究生数学建模科研创新实践大赛C题气象数据高精度融合技术研究论文和代码分析02Coze扣子平台完整体验和实践(附国内和国际版对比)03组基轨迹建模 GBTM的介绍与实现(Stata 或 R)042024亚太赛(中文赛)数学建模竞赛选题建议+初步分析05yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)06【经验分享】Ubuntu22.04安装微信(linux官方版)07通用大模型VS垂直大模型,你更青睐哪一方?082025张宇考研数学,百度网盘视频课+36讲PDF讲义+真题09【立创EDA-PCB设计基础】6.布线铺铜实战及细节详解102024 年第十四届 APMCM 亚太地区大学生数学建模竞赛B题超详细解题思路+数据预处理问题一代码分享