Django 通过 Trunc(kind) 和 Extract(lookup_name) 参数进行潜在 SQL 注入 (CVE-2022-34265)

blackK_YC2023-11-27 13:46

漏洞描述

Django 于 2022 年6月4 日发布了一个安全更新,修复了 Trunc() 和 Extract() 数据库函数中的 SQL 注入漏洞。

参考链接:

漏洞环境及利用

搭建docker环境

服务器启动后,您可以在 上看到一个网页。http://your-ip:8000

此页面使用函数按日期时间聚合页面点击次数。例如,使用此链接查看每分钟的点击次数:http://your-ip:8000/?date=minute

更改参数以重现 SQL 注入:date

复制代码 
`http://your-ip:8000/?date=xxxx'xxxx`
相关推荐
一条懒鱼6661 小时前
K8S-Ingress资源对象
云原生·容器·kubernetes
帷幄庸者1 小时前
记一次Kubernetes“僵尸”挖矿病毒的排查与歼灭全录
云原生·容器·kubernetes
楓叶子4 小时前
K8S部署
云原生·容器·kubernetes
一只栖枝5 小时前
K8s 认证级别怎么选?适配不同运维场景
云原生·容器·kubernetes·k8s·cka
gOODiDEA5 小时前
Kubernetes集群的搭建与DevOps实践(上)- 架构设计篇
云原生·kubernetes·devops·架构设计·技术选型
Yeliang Wu5 小时前
k8s上部署open-webUI
云原生·容器·kubernetes·openwebui
NetInside_5 小时前
基于 Gartner 2025 报告:数字体验监测(DEM)核心价值与企业落地指南
运维·云原生
哲Zheᗜe༘6 小时前
K8S-Ingress资源对象
云原生·容器·kubernetes
java_logo10 小时前
Apache Kafka Docker 容器化部署指南
运维·docker·云原生·容器·kafka·kubernetes·apache
热门推荐
01GitHub 镜像站点02React CVE-2025-55182漏洞排查与修复指南03【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05BongoCat - 跨平台键盘猫动画工具06UV安装并设置国内源07智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践08本地部署阿里最新开源的Z-Image09Linux下V2Ray安装配置指南10论文阅读 - 深度学习端到端解决库存管理问题 - 有限时间范围内的多周期补货问题(Management Science)